近日，知名信息安全廠商卡巴斯基發(fā)布病毒播報，提醒用戶注意一款惡意程序名為Trojan.W in32.Agent.xsil的下載器木馬。

據(jù)悉，此木馬運行后會將自身拷貝為臨時目錄下，之后會掛鉤輸入法相關(guān)函數(shù)并向explorer.exe發(fā)送 WM_INPUTLANGCHANGEREQUEST 消 息 使 得 explorer.exe進(jìn)程運行木馬。之后木馬會隨機(jī)從AppMgm t、Netman、CryptSvc等 服 務(wù)中選擇一個，并將自身修改為DLL格式替換原服務(wù)對應(yīng)的DLL，而后將相應(yīng)的服務(wù)設(shè)置為自動啟動。這樣當(dāng)系統(tǒng)啟動這些服務(wù)時就會啟動木馬。為防止用戶進(jìn)入安全模式，木馬會刪除安全模式相關(guān)注冊表。木馬還會將用戶網(wǎng)卡的MAC地 址 發(fā) 送 到 87.138.250.***/aa*/Count.asp?進(jìn)行安裝量統(tǒng)計 。 木 馬 會 從 54.169.9.***、115.238.237.***、61.132.227.** 等地址下載其他惡意程序。

卡巴斯基提醒廣大用戶及時更新反病毒產(chǎn)品的病毒庫，并定期為系統(tǒng)打補(bǔ)丁，不打開可疑郵件和可疑網(wǎng)站，不隨意接收聊天工具上傳送的文件以及打開發(fā)過來的網(wǎng)站鏈接，使用移動介質(zhì)時最好使用鼠標(biāo)右鍵打開使用，必要時先要進(jìn)行掃描，不從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。