皓龍?zhí)鞖庑遁d步驟360安全衛(wèi)士已經(jīng)率先支持皓龍?zhí)鞖獾男遁d，將360安全衛(wèi)士更新到最新版成功刪除皓龍?zhí)鞖狻?/p>

　　皓龍?zhí)鞖饽抉R分析

　　經(jīng)過360反病毒工程師調(diào)查分析，“皓龍?zhí)鞖?rdquo;通過一些不良軟件靜默捆綁安裝：首先，“皓龍?zhí)鞖?rdquo;在系統(tǒng)植入木馬驅(qū)動Acceler.sys和vparam.bin(經(jīng)過加密的數(shù)據(jù)文件);之后，Acceler.sys會對vparam.bin進行解密并在內(nèi)存中加載，由vparam.bin生成的木馬下載者聯(lián)網(wǎng)下載運行一個專門劫持主頁的木馬;最后，劫持主頁木馬運行在內(nèi)存中，木馬向系統(tǒng)注冊進程回調(diào)，當(dāng)發(fā)現(xiàn)瀏覽器進程創(chuàng)建時，修改進程命令行，后面帶推廣參數(shù)，導(dǎo)致用戶瀏覽器被惡意劫持。

　　“皓龍?zhí)鞖?rdquo;的木馬驅(qū)動Acceler.sys具備有效的數(shù)字簽名(相當(dāng)于軟件的身份證)，簽名信息為“重慶速邁科技有限公司”，導(dǎo)致絕大多數(shù)殺毒軟件將其誤認為合法程序。

　　如果受害用戶僅僅卸載“皓龍?zhí)鞖?rdquo;，而不清除其木馬驅(qū)動，上網(wǎng)主頁仍然會出現(xiàn)被篡改現(xiàn)象。目前，360安全衛(wèi)士和360殺毒已率先實現(xiàn)了對“皓龍?zhí)鞖?rdquo;的全面查殺，可以幫助用戶徹底清除“皓龍?zhí)鞖?rdquo;并修復(fù)主頁。