以下的文章主要描述的是黑客模仿“紫霞仙子” 用戶淪為“至尊寶”，微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲了仿效《大話西游》經(jīng)典橋段的“小雞”后門程序“Backdoor.Win32.Ruser.a”。

大家可曾記得《大話西游》里，紫霞仙子在至尊寶腳上打上了3個(gè)點(diǎn)，做為是她的奴隸的標(biāo)志，表示整座山都是她的，至尊寶也是她的。近日，微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲了仿效《大話西游》經(jīng)典橋段的“小雞”后門程序“Backdoor.Win32.Ruser.a”，該后門程序作者在“攻占”用戶電腦的同時(shí)，還不忘無厘頭一下，程序執(zhí)行過程中會(huì)在注冊表項(xiàng)中寫一個(gè)“我是小雞”的鍵值。

給這個(gè)可憐的受害用戶打上“我是小雞”的中毒標(biāo)志。據(jù)微點(diǎn)專家表示該后門程序通過“文件捆綁”途徑植入用戶計(jì)算機(jī)，運(yùn)行后自動(dòng)執(zhí)行釋放后的木馬程序，等待接受黑客特定指令來控制用戶計(jì)算機(jī)，直接威脅用戶隱私文件及其系統(tǒng)安全。

該后門程序被執(zhí)行后，首先嘗試關(guān)閉360安全衛(wèi)士進(jìn)程，達(dá)到自身保護(hù)的目的。同時(shí)，通過創(chuàng)建注冊表相關(guān)鍵值，達(dá)到生成反向連接的相關(guān)配置信息，并在注冊表中創(chuàng)建了一個(gè)無意義的鍵值“我是小雞”。

并釋放文件“mpeg4c32.dll”到系統(tǒng)目錄system32\下，修改并創(chuàng)建“RemoteAccess服務(wù)注冊表相關(guān)鍵值，達(dá)到“RemoteAccess”服務(wù)的替換，實(shí)現(xiàn)下次開機(jī)自啟動(dòng)目的。之后，調(diào)用系統(tǒng)API開啟服務(wù)，服務(wù)成功啟動(dòng)后，開啟“svchost”新進(jìn)程，讀取后門種植者所設(shè)置的IP地址和端口號(hào)進(jìn)行反向連接，連接成功后開啟線程與黑客進(jìn)行通訊，等待接受黑客的控制。

此時(shí)，用戶計(jì)算機(jī)就變成了傀儡主機(jī)，黑客可以對(duì)用戶的計(jì)算機(jī)進(jìn)行：文件管理、屏幕監(jiān)控、超級(jí)終端、語音交流、系統(tǒng)控制、視頻監(jiān)控。想像一下，你的私密照片被黑客拿走會(huì)是什么后果……

所有工作完成之后，可以打掃現(xiàn)場了。最后一步，該后門程序結(jié)束自身進(jìn)程前通過隱藏調(diào)用命令刪除自身，傳統(tǒng)特征碼掃描對(duì)該后門程序失效。

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶，無須任何設(shè)置，微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本，微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版，微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”，請直接選擇刪除處理(如圖1);

圖1 主動(dòng)防御自動(dòng)捕獲未知病毒(未升級(jí))

如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本，微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Backdoor.Win32.Ruser.a”，請直接選擇刪除(如圖2)。

圖2 升級(jí)后截獲已知病毒

對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶，微點(diǎn)反病毒專家建議：

1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝，避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。

2、盡快將您的殺毒軟件特征庫升級(jí)到最新版本進(jìn)行查殺，并開啟防火墻攔截網(wǎng)絡(luò)異常訪問，如依然有異常情況請注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。

3、開啟windows自動(dòng)更新，及時(shí)打好漏洞補(bǔ)丁。