大家可曾记得《大话西游》里,紫霞仙子在***宝脚上打上了3个点,做为是她的奴隶的标志 ,表示整座山都是她的,***宝也是她的。近日,微点主动防御软件自动捕获了仿效《大话西游》经典桥段的“小鸡”后门程序“Backdoor.Win32.Ruser.a”,该后门程序作者在“攻占”用户电脑的同时,还不忘无厘头一下,程序执行过程中会在注册表项中写一个“我是小鸡”的键值。给这个可怜的受害用户打上“我是小鸡”的中毒标志。据微点专家表示该后门程序通过“文件捆绑”途径植入用户计算机,运行后自动执行释放后的木马程序,等待接受黑客特定指令来控制用户计算机,直接威胁用户隐私文件及其系统安全。
该后门程序被执行后,首先尝试关闭360安全卫士进程,达到自身保护的目的。同时,通过创建注册表相关键值,达到生成反向连接的相关配置信息,并在注册表中创建了一个无意义的键值“我是小鸡”。并释放文件“mpeg4c32.dll”到系统目录system32\下,修改并创建“RemoteAccess服务注册表相关键值,达到”RemoteAccess“服务的替换,实现下次开机自启动目的。之后,调用系统API开启服务,服务成功启动后,开启”svchost“新进程,读取后门种植者所设置的IP地址和端口号进行反向连接,连接成功后开启线程与黑客进行通讯,等待接受黑客的控制。此时,用户计算机就变成了傀儡主机,黑客可以对用户的计算机进行:文件管理、屏幕监控、超级终端、语音交流、系统控制、视频监控。想像一下,你的私密照片被黑客拿走会是什么后果……
所有工作完成之后,可以打扫现场了。***一步,该后门程序结束自身进程前通过隐藏调用命令删除自身,传统特征码扫描对该后门程序失效。
防范措施
反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到***版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新,及时打好漏洞补丁。
