通过“网页木马”、“文件捆绑”等方式传播,运行后下载其他木马程序到本地执行。接受远程控制用户计算机,给用户计算机安全带来极大危害。虽然套路并无太多创新,但“攻占”下用户计算机还是“轻车熟路”。
作案揭秘
下面我们来看看案发经过:该下载器被执行后,秘密连接到指定网址下载加密文件到系统文件夹下,随后删除自身并在此目录下随机生成一个特定危害文件并隐藏运行它,主要目的就是拷贝这个特定危害文件分别到系统文件夹system32下与系统文件夹根目录下,并在开机自启动目录下创建快捷方式,文件属性为隐藏,达到随机启动隐藏自身效果;还在开机自启动目录下创建一个自删除批处理,达到创建开机服务实现另一个随机启动隐藏自身效果并修改相关注册表实现破坏安全模式。准备工作一切完毕,他们就可以放心大胆的继续从上述的网站下载其它病毒木马,实现感染与接受黑客控制,给用户的计算机和隐私安全带来很大隐患。
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 主动防御自动捕获未知病毒(未升级)
图2 升级后截获已知病毒
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-Downloader.Win32.Agent.aiym”,请直接选择删除(如图2)。
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
(本站编辑:xiaohan)
(责任编辑:adminadmin2008)
