安全深度揭秘　木馬下載器作案全程實錄

【賽迪網-IT技術報道】近日微點主動防禦軟體自動捕獲了一個木馬下載器Trojan-Downloader.Win32.Agent.aiym，該下載器使用「 VC」編寫，圖標為

通過「網頁木馬」、「文件捆綁」等方式傳播，運行後下載其他木馬程序到本地執行。接受遠程控制用戶計算機，給用戶計算機安全帶來極大危害。雖然套路並無太多創新，但「攻佔」下用戶計算機還是「輕車熟路」。

作案揭秘

下面我們來看看案發經過：該下載器被執行後，秘密連接到指定網址下載加密文件到系統文件夾下，隨後刪除自身並在此目錄下隨機生成一個特定危害文件並隱藏運行它，主要目的就是拷貝這個特定危害文件分別到系統文件夾system32下與系統文件夾根目錄下，並在開機自啟動目錄下創建快捷方式，文件屬性為隱藏,達到隨機啟動隱藏自身效果；還在開機自啟動目錄下創建一個自刪除批處理，達到創建開機服務實現另一個隨機啟動隱藏自身效果並修改相關註冊表實現破壞安全模式。準備工作一切完畢，他們就可以放心大膽的繼續從上述的網站下載其它病毒木馬，實現感染與接受黑客控制，給用戶的計算機和隱私安全帶來很大隱患。

防範措施

已安裝使用微點主動防禦軟體的用戶，無須任何設置，微點主動防禦將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防禦都能夠有效清除該病毒。如果您沒有將微點主動防禦軟體升級到最新版，微點主動防禦軟體在發現該病毒後將報警提示您發現「未知木馬」，請直接選擇刪除處理（如圖1）；

如果您已經將微點主動防禦軟體升級到最新版本，微點將報警提示您發現"Trojan-Downloader.Win32.Agent.aiym」，請直接選擇刪除（如圖2）。

對於未使用微點主動防禦軟體的用戶，微點反病毒專家建議：

1、不要在不明站點下載非官方版本的軟體進行安裝，避免病毒通過捆綁的方式進入您的系統。

2、盡快將您的殺毒軟體特徵庫升級到最新版本進行查殺，並開啟防火牆攔截網絡異常訪問，如依然有異常情況請注意及時與專業的安全軟體廠商聯繫獲取技術支持。

3、開啟windows自動更新，及時打好漏洞補丁。

(