皓龍?zhí)鞖庑遁d步驟360安全衛(wèi)士已經(jīng)率先支持皓龍?zhí)鞖獾男遁d，將360安全衛(wèi)士更新到最新版成功刪除皓龍?zhí)鞖狻?/p>

　　皓龍?zhí)鞖饽抉R分析

　　經(jīng)過(guò)360反病毒工程師調(diào)查分析，“皓龍?zhí)鞖?rdquo;通過(guò)一些不良軟件靜默捆綁安裝：首先，“皓龍?zhí)鞖?rdquo;在系統(tǒng)植入木馬驅(qū)動(dòng)Acceler.sys和vparam.bin(經(jīng)過(guò)加密的數(shù)據(jù)文件);之后，Acceler.sys會(huì)對(duì)vparam.bin進(jìn)行解密并在內(nèi)存中加載，由vparam.bin生成的木馬下載者聯(lián)網(wǎng)下載運(yùn)行一個(gè)專(zhuān)門(mén)劫持主頁(yè)的木馬;最后，劫持主頁(yè)木馬運(yùn)行在內(nèi)存中，木馬向系統(tǒng)注冊(cè)進(jìn)程回調(diào)，當(dāng)發(fā)現(xiàn)瀏覽器進(jìn)程創(chuàng)建時(shí)，修改進(jìn)程命令行，后面帶推廣參數(shù)，導(dǎo)致用戶(hù)瀏覽器被惡意劫持。

　　“皓龍?zhí)鞖?rdquo;的木馬驅(qū)動(dòng)Acceler.sys具備有效的數(shù)字簽名(相當(dāng)于軟件的身份證)，簽名信息為“重慶速邁科技有限公司”，導(dǎo)致絕大多數(shù)殺毒軟件將其誤認(rèn)為合法程序。

　　如果受害用戶(hù)僅僅卸載“皓龍?zhí)鞖?rdquo;，而不清除其木馬驅(qū)動(dòng)，上網(wǎng)主頁(yè)仍然會(huì)出現(xiàn)被篡改現(xiàn)象。目前，360安全衛(wèi)士和360殺毒已率先實(shí)現(xiàn)了對(duì)“皓龍?zhí)鞖?rdquo;的全面查殺，可以幫助用戶(hù)徹底清除“皓龍?zhí)鞖?rdquo;并修復(fù)主頁(yè)。