关注恶意软件:
名称:“自动脚本”木马(Trojan-Clicker.Win32.AutoIt.m)
恶意软件类型:木马
长度:338735字节
加壳方式:UPX
脱壳后文件大小:707887字节
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7
具体表现:
被“自动脚本”木马感染后,木马会释放以下文件到计算机:
%sysdir%\CIDD_P\lasaa.exe
%sysdir%\configuration\configuration.exe
另外,还会下载以下文件:
%sysdir%\CIDD_P\41646D696E6973747261746F72\1.exe
%sysdir%\CIDD_P\41646D696E6973747261746F72\br.dll
%sysdir%\CIDD_P\41646D696E6973747261746F72\clm.dll
%sysdir%\CIDD_P\41646D696E6973747261746F72\nam.dll
%sysdir%\CIDD_P\41646D696E6973747261746F72\nfie.dll
修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
“自动脚本”木马是用一种称作AutoIt的脚本语言生成的Windows可执行文件,AutoIt是一种脚本语言,它被设计用来在Windows GUI(用户界面)中进行自动操作。通过它可以组合使用模拟键击、鼠标移动和窗口/控件操作等来实现自动化任务,很适合用于编写用以完成重复性任务的脚本。由于这个特点,这种脚本也经常被恶意程序利用。
为了迷惑用户,此恶意样本的程序图标采用文件夹图标,诱使用户放松警惕而点击运行,当用户点击后,该程序会生成并打开一个伪造的同名空文件夹,避免引起用户怀疑。
然后,在系统路径 %sysdir%下建立隐藏文件夹CIDD_P和configuration,并释放文件 lsass.exe和configuration.exe, 这两个文件其实是一样的。之后会运行lsass.exe,并把configuration.exe加入自动启动。lsass.exe是系统进程的名字,恶意程序伪装成系统进程,借以迷惑用户。
运行后的lsass.exe会疯狂的访问预先设置好的网址,而且会从其中的一些服务器上下载其他恶意程序到目录%sysdir%\CIDD_P\41646D696E6973747261746F72\下。
lsass.exe运行过程中会隐藏自己的网络活动,使用常规的网络监测工具或命令如"netstat"命令不能监测到它的网络活动。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论