客服邮箱
kaba365@pcstars.com.cn
销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)
技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)
排名 | 病毒名称 | 病毒类型 | 周爆发率(%) |
1. | Trojan.Win32.StartPage.exd | 木马 | 15.71 |
2. | Trojan.Win32.Agent.se | 木马 | 8.79 |
3. | not-a-virus:AdWare.Win32.BHO.gtq | 广告软件 | 7.85 |
4. | Trojan-Downloader.Win32.Agent.cuap | 木马 | 6.81 |
5. | HEUR:Trojan.Win32.Generic | 木马 | 5.96 |
6. | Trojan-Dropper.Win32.VB.mwo | 木马 | 3.99 |
7. | Trojan.Win32.Pakes.lmb | 木马 | 3.89 |
8. | Trojan.Win32.VB.zal | 木马 | 2.54 |
9. | HEUR:Trojan-Downloader.Win32.Generic | 木马 | 2.40 |
10. | Trojan.Win32.Inject.alwi | 木马 | 1.80 |
关注恶意软件:
具体表现:
被“自动脚本”木马感染后,木马会释放以下文件到计算机: %sysdir%\CIDD_P\lasaa.exe %sysdir%\configuration\configuration.exe 另外,还会下载以下文件: %sysdir%\CIDD_P\41646D696E6973747261746F72\1.exe %sysdir%\CIDD_P\41646D696E6973747261746F72\br.dll %sysdir%\CIDD_P\41646D696E6973747261746F72\clm.dll %sysdir%\CIDD_P\41646D696E6973747261746F72\nam.dll %sysdir%\CIDD_P\41646D696E6973747261746F72\nfie.dll
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “自动脚本”木马是用一种称作AutoIt的脚本语言生成的Windows可执行文件,AutoIt是一种脚本语言,它被设计用来在Windows GUI(用户界面)中进行自动操作。通过它可以组合使用模拟键击、鼠标移动和窗口/控件操作等来实现自动化任务,很适合用于编写用以完成重复性任务的脚本。由于这个特点,这种脚本也经常被恶意程序利用。
为了迷惑用户,此恶意样本的程序图标采用文件夹图标,诱使用户放松警惕而点击运行,当用户点击后,该程序会生成并打开一个伪造的同名空文件夹,避免引起用户怀疑。
然后,在系统路径 %sysdir%下建立隐藏文件夹CIDD_P和configuration,并释放文件 lsass.exe和configuration.exe, 这两个文件其实是一样的。之后会运行lsass.exe,并把configuration.exe加入自动启动。lsass.exe是系统进程的名字,恶意程序伪装成系统进程,借以迷惑用户。
运行后的lsass.exe会疯狂的访问预先设置好的网址,而且会从其中的一些服务器上下载其他恶意程序到目录%sysdir%\CIDD_P\41646D696E6973747261746F72\下。
lsass.exe运行过程中会隐藏自己的网络活动,使用常规的网络监测工具或命令如"netstat"命令不能监测到它的网络活动。
专家预防建议:
|