360安全中心接到用户反馈，在下载使用某个网站的暴风激活软件后，浏览器主页被强制劫持到2345导航站，无法修改回用户需要的主页，工程师在远程用户电脑后发现，用户所下载的激活工具携带恶性Rootkit病毒，在用户使用激活工具后，恶意驱动会将浏览器主页进行劫持，下面是简要分析。

木马分析

病毒作者在下载页面弹出诱导用户退出360安全卫士，360杀毒等主流杀毒软件的提示，提示为"为防止杀毒软件误报误杀，请务必先退出360安全卫士，360杀毒等杀毒软件，再去下载激活"，实则是为了躲避杀毒软件的查杀。360安全中心提醒广大用户，切勿轻信此类虚假提示，在使用来源不明或为知安全性的软件时，一定要先使用360安全卫士进行查杀，以防止被病毒木马感染。下图是携带病毒的激活工具下载页面：

激活工具运行后会释放恶意驱动，驱动信息如下：

下载的木马和锁定主页相关的配置文件（desktop.ini）:

配置文件内容，如下图所示:

受影响的浏览器列表如下：

恶意驱动会根据配置文件将用户浏览器主页劫持到2345导航页面:

安全建议

下载器，激活工具，绿色软件是病毒传播的主要途径，病毒作者会使用各种诱骗手段欺骗用户使用携带病毒的相关软件，我们建议广大用户在使用此类未知安全性的软件时，先使用杀毒软件进行查杀，以防止电脑被病毒感染。

360安全卫士已支持此类木马查杀，建议广大用户安装使用：