专家说,该变种运行后,会在受感染操作系统的系统目录下释放一组恶意动态链接库DLL组件和一个配置文件,并且将其自身复制到系统中浏览器IE所在的目录文件夹下并重新命名。随后,木马程序源文件会通过批处理的方式将其自身删除,使得计算机用户无法找到。变种会将释放出的恶意动态链接库DLL组件插入到操作系统的浏览器IE进程中,使其成为系统必要进程,从而逃避防病毒软件的查杀。
变种还会强行篡改受感染操作系统浏览器IE的默认主页,修改成指定Web网站地址,导致计算机用户在开启浏览器IE后自动链接到该站点。这些指定的地址大多数是一些赚取点击流量的广告Web网站,恶意攻击者会利用该变种谋取非法的经济利益。
变种还会将自身注册为浏览器辅助对象BHO,以此实现随浏览器IE启动而自动加载运行。另外,变种会在开始菜单“启动”文件夹中添加名为“TM”的快捷方式,用来指向木马程序,以便使其随操作系统启动后自动被运行。
BHO是浏览器辅助对象的简称,它是微软推出的作为浏览器对第三方程序员开放的交互接口业界标准,通过简单的代码就可以进入浏览器领域的“交互接口”。通过这个接口,程序员可以编写代码获取浏览器的行为,还可以用代码控制浏览器行为。
专家建议:
1、已经感染该变种的计算机用户应立即升级系统中的防病毒软件,进行全面杀毒。
2、未感染的用户需打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。(记者张建新)
本文来源:不详 作者:佚名