近日,知名信息安全廠商卡巴斯基發(fā)布病毒播報,提醒用戶注意一款惡意程序名為Trojan.W in32.Agent.xsil的下載器木馬。
據(jù)悉,此木馬運行后會將自身拷貝為臨時目錄下,之后會掛鉤輸入法相關(guān)函數(shù)并向explorer.exe發(fā)送 WM_INPUTLANGCHANGEREQUEST 消 息 使 得 explorer.exe進(jìn)程運行木馬。之后木馬會隨機(jī)從AppMgm t、Netman、CryptSvc等 服 務(wù)中選擇一個,并將自身修改為DLL格式替換原服務(wù)對應(yīng)的DLL,而后將相應(yīng)的服務(wù)設(shè)置為自動啟動。這樣當(dāng)系統(tǒng)啟動這些服務(wù)時就會啟動木馬。為防止用戶進(jìn)入安全模式,木馬會刪除安全模式相關(guān)注冊表。木馬還會將用戶網(wǎng)卡的MAC地 址 發(fā) 送 到 87.138.250.***/aa*/Count.asp?進(jìn)行安裝量統(tǒng)計 。 木 馬 會 從 54.169.9.***、115.238.237.***、61.132.227.** 等地址下載其他惡意程序。
卡巴斯基提醒廣大用戶及時更新反病毒產(chǎn)品的病毒庫,并定期為系統(tǒng)打補(bǔ)丁,不打開可疑郵件和可疑網(wǎng)站,不隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接,使用移動介質(zhì)時最好使用鼠標(biāo)右鍵打開使用,必要時先要進(jìn)行掃描,不從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。