以下的文章主要描述的是黑客模仿“紫霞仙子” 用户沦为“至尊宝”,微点主动防御软件自动捕获了仿效《大话西游》经典桥段的“小鸡”后门程序“Backdoor.Win32.Ruser.a”。
大家可曾记得《大话西游》里,紫霞仙子在至尊宝脚上打上了3个点,做为是她的奴隶的标志,表示整座山都是她的,至尊宝也是她的。近日,微点主动防御软件自动捕获了仿效《大话西游》经典桥段的“小鸡”后门程序“Backdoor.Win32.Ruser.a”,该后门程序作者在“攻占”用户电脑的同时,还不忘无厘头一下,程序执行过程中会在注册表项中写一个“我是小鸡”的键值。
给这个可怜的受害用户打上“我是小鸡”的中毒标志。据微点专家表示该后门程序通过“文件捆绑”途径植入用户计算机,运行后自动执行释放后的木马程序,等待接受黑客特定指令来控制用户计算机,直接威胁用户隐私文件及其系统安全。
该后门程序被执行后,首先尝试关闭360安全卫士进程,达到自身保护的目的。同时,通过创建注册表相关键值,达到生成反向连接的相关配置信息,并在注册表中创建了一个无意义的键值“我是小鸡”。
并释放文件“mpeg4c32.dll”到系统目录system32\下,修改并创建“RemoteAccess服务注册表相关键值,达到“RemoteAccess”服务的替换,实现下次开机自启动目的。之后,调用系统API开启服务,服务成功启动后,开启“svchost”新进程,读取后门种植者所设置的IP地址和端口号进行反向连接,连接成功后开启线程与黑客进行通讯,等待接受黑客的控制。
此时,用户计算机就变成了傀儡主机,黑客可以对用户的计算机进行:文件管理、屏幕监控、超级终端、语音交流、系统控制、视频监控。想像一下,你的私密照片被黑客拿走会是什么后果……
所有工作完成之后,可以打扫现场了。最后一步,该后门程序结束自身进程前通过隐藏调用命令删除自身,传统特征码扫描对该后门程序失效。
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 主动防御自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现"Backdoor.Win32.Ruser.a”,请直接选择删除(如图2)。
图2 升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
