安全深度揭秘 木马下载器作案全程实录

rV?D%QP1y0

5p }!b$o*Yy4M0　　通过“网页木马”、“文件捆绑”等方式传播，运行后下载其他木马程序到本地执行。接受远程控制用户计算机，给用户计算机安全带来极大危害。虽然套路并无太多创新，但“攻占”下用户计算机还是“轻车熟路”。

"i'Q]._h9KjZ0　　作案揭秘IXPUB技术博客5aOp(pkY(bU

　　下面我们来看看案发经过：该下载器被执行后，秘密连接到指定网址下载加密文件到系统文件夹下，随后删除自身并在此目录下随机生成一个特定危害文件并隐藏运行它，主要目的就是拷贝这个特定危害文件分别到系统文件夹system32下与系统文件夹根目录下，并在开机自启动目录下创建快捷方式，文件属性为隐藏,达到随机启动隐藏自身效果;还在开机自启动目录下创建一个自删除批处理，达到创建开机服务实现另一个随机启动隐藏自身效果并修改相关注册表实现破坏安全模式。准备工作一切完毕，他们就可以放心大胆的继续从上述的网站下载其它病毒木马，实现感染与接受黑客控制，给用户的计算机和隐私安全带来很大隐患。IXPUB技术博客3[6wJ uKN,| p

　　防范措施IXPUB技术博客Zi/k9Vkr+I

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理(如图1);IXPUB技术博客.vWSx@xnV m

9E O y]%^;[ {0　　

-~iLq-h:gXp0

zo7R _z0　　图1　主动防御自动捕获未知病毒(未升级)

(Ju7V'^+aX%s_c0　　

IXPUB技术博客K/A%f%h"x T|bMy

　　图2　升级后截获已知病毒

'pa%C?fJT0　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-Downloader.Win32.Agent.aiym”，请直接选择删除(如图2)。IXPUB技术博客\o#D8r5E/j5LY[ E

7gU;m)PKro0　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

2IK,R:l!Yl)C0　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。IXPUB技术博客G:qd$b1\r2{

　　2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。IXPUB技术博客2G'Jd{.PFU:r

#k1Ow8O
wkB0　　3、开启windows自动更新，及时打好漏洞补丁。IXPUB技术博客T5Uo;F)t mq,ML:vn