病毒冒充微軟防火牆　輕輕鬆鬆抓「肉雞」

【賽迪網-IT技術報道】黑屏病毒的「餘溫」尚未退去，但是黑客並沒有停止腳步，而是不斷變化著戲法來增加更多的「肉雞」來源。

近日，微點主動防禦軟體自動捕獲了一個後門程序「Backdoor.Win32.Agent.knm」，該後門程序使用「VC」編寫，圖標為

這個後門程序被執行後，首先查詢系統目錄system32下是否存「SVCH0ST.EXE」，若存在則能過寫註冊表，改頭換面成為「Windows Firewall（windows 防火牆）」的服務，使用相關API函數啟動被註冊的服務；否則拷貝自身到此目錄下並重命名為「SVCH0ST.EXE」，然後再將其註冊成服務。彈出出錯提示以此迷惑用戶。病毒通過批處理執行自刪除來逃避傳統殺毒軟體的查殺。

後門主程序運行後，通過相關API函數從網絡空間上讀取後門種植者所設置的IP地址和端口號進行反向連接，連接成功後使用API函數開啟多個線程與黑客進行通訊，接受黑客的控制，如：訪問指定惡意網頁以及遠程關機等，使被病毒感染主機倫為傀儡主機，給用戶的計算機安全帶來嚴重危害。

防範措施

已安裝使用微點主動防禦軟體的用戶，無須任何設置，微點主動防禦將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防禦都能夠有效清除該病毒。如果您沒有將微點主動防禦軟體升級到最新版，微點主動防禦軟體在發現該病毒後將報警提示您發現「未知木馬」，請直接選擇刪除處理（如圖1）；

如果您已經將微點主動防禦軟體升級到最新版本，微點將報警提示您發現"Backdoor.Win32.Agent.knm」，請直接選擇刪除（如圖2）。

對於未使用微點主動防禦軟體的用戶，微點反病毒專家建議：

1、不要在不明站點下載非官方版本的軟體進行安裝，避免病毒通過捆綁的方式進入您的系統。

2、盡快將您的殺毒軟體特徵庫升級到最新版本進行查殺，並開啟防火牆攔截網絡異常訪問，如依然有異常情況請注意及時與專業的安全軟體廠商聯繫獲取技術支持。

3、開啟windows自動更新，及時打好漏洞補丁。

(