|
||||
最近你是否有收到郵件提醒你所負責的網站具有『無限充值漏洞』,如果有,請一定要謹慎處理,切不可輕易打開其中的附件。因為其中包括惡意後門程序,可以使計算機成為受害黑客控制的肉雞。
卡巴斯基實驗室對此類郵件分析後發現,其具有很強的迷惑性。 這些郵件會聲稱用戶網站有漏洞,提示郵件接受者查看附件壓縮包中的視頻文件獲取詳情。如下圖所示:
可以看到,此惡意程序的攻擊是蓄意並且具有針對性的。因為其收件人地址很多都是一些知名網站、軟件公司的相關郵箱,甚至還包括一些反病毒軟件公司。一旦公司有人被感染,其計算機就會被完全控制,甚至造成公司機密泄漏,危害性極大。
如果郵件接收者不慎運行了附件中的可執行文件,則會顯示對話框,讓用戶輸入密碼。其實,此時惡意程序已經被釋放到系統盤的根目錄下並自動運行,如下圖所示:
此外,惡意程序還會在後臺釋放一個隨機文件名的.lib文件到C:\Documents and Settings\All Users\DRM目錄,經卡巴斯基反病毒軟件檢測,此lib文件為Backdoor.Win32.Agent.arjv後門程序。該文件會被加載為服務,自動連接遠程主機,從而控制受感染計算機。此外,惡意程序還會會修改系統IAS服務指向後門程序,實現開機自動啟動。後門程序還會檢查自身文件是否被刪除,如果被刪除會自動創建,一般用戶很難將其根除。
卡巴斯基已經可以成功查殺此後門程序,建議您及時昇級反病毒數據庫進行查殺。卡巴斯基同時提醒用戶在接收到不明郵件時,千萬不要輕易打開附件,以免感染造成損失。