关注恶意软件：

• 名称：“自动脚本”木马（Trojan-Clicker.Win32.AutoIt.m）
• 恶意软件类型：木马
• 长度：338735字节
• 加壳方式：UPX
• 脱壳后文件大小：707887字节
• 影响的平台：WIN9X/ME/NT/2000/XP/2003/Vista/Win7

具体表现：

被“自动脚本”木马感染后，木马会释放以下文件到计算机：

%sysdir%\CIDD_P\lasaa.exe

%sysdir%\configuration\configuration.exe

另外，还会下载以下文件：

%sysdir%\CIDD_P\41646D696E6973747261746F72\1.exe

%sysdir%\CIDD_P\41646D696E6973747261746F72\br.dll

%sysdir%\CIDD_P\41646D696E6973747261746F72\clm.dll

%sysdir%\CIDD_P\41646D696E6973747261746F72\nam.dll

%sysdir%\CIDD_P\41646D696E6973747261746F72\nfie.dll

修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

“自动脚本”木马是用一种称作AutoIt的脚本语言生成的Windows可执行文件，AutoIt是一种脚本语言，它被设计用来在Windows GUI（用户界面）中进行自动操作。通过它可以组合使用模拟键击、鼠标移动和窗口/控件操作等来实现自动化任务，很适合用于编写用以完成重复性任务的脚本。由于这个特点，这种脚本也经常被恶意程序利用。

为了迷惑用户，此恶意样本的程序图标采用文件夹图标，诱使用户放松警惕而点击运行，当用户点击后，该程序会生成并打开一个伪造的同名空文件夹，避免引起用户怀疑。

然后，在系统路径 %sysdir%下建立隐藏文件夹CIDD_P和configuration，并释放文件 lsass.exe和configuration.exe, 这两个文件其实是一样的。之后会运行lsass.exe，并把configuration.exe加入自动启动。lsass.exe是系统进程的名字，恶意程序伪装成系统进程，借以迷惑用户。

运行后的lsass.exe会疯狂的访问预先设置好的网址，而且会从其中的一些服务器上下载其他恶意程序到目录%sysdir%\CIDD_P\41646D696E6973747261746F72\下。

lsass.exe运行过程中会隐藏自己的网络活动，使用常规的网络监测工具或命令如"netstat"命令不能监测到它的网络活动。

专家预防建议:

• 1.建立良好的安全习惯，不打开可疑邮件和可疑网站。
• 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
• 3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
• 4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。
• 5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。
• 6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
• 7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。