天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

安全深度揭秘 木马下载器作案全程实录

2008-11-26塞迪网佚名

近日微点主动防御软件自动捕获了一个木马下载器Trojan-Downloader.Win32.Agent.aiym,该下载器使用“ VC”编写,图标为

通过“网页木马”、“文件捆绑”等方式传播,运行后下载其他木马程序到本地执行。接受远程控制用户计算机,给用户计算机安全带来极大危害。虽然套路并无太多创新,但“攻占”下用户计算机还是“轻车熟路”。

作案揭秘

下面我们来看看案发经过:该下载器被执行后,秘密连接到指定网址下载加密文件到系统文件夹下,随后删除自身并在此目录下随机生成一个特定危害文件并隐藏运行它,主要目的就是拷贝这个特定危害文件分别到系统文件夹system32下与系统文件夹根目录下,并在开机自启动目录下创建快捷方式,文件属性为隐藏,达到随机启动隐藏自身效果;还在开机自启动目录下创建一个自删除批处理,达到创建开机服务实现另一个随机启动隐藏自身效果并修改相关注册表实现破坏安全模式。准备工作一切完毕,他们就可以放心大胆的继续从上述的网站下载其它病毒木马,实现感染与接受黑客控制,给用户的计算机和隐私安全带来很大隐患。

防范措施

已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);

图1 主动防御自动捕获未知病毒(未升级)

图2 升级后截获已知病毒

如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Trojan-Downloader.Win32.Agent.aiym”,请直接选择删除(如图2)。

对于未使用微点主动防御软件的用户,微点反病毒专家建议:

1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。

2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

3、开启windows自动更新,及时打好漏洞补丁。

本文来源:塞迪网 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行