國家計算機病毒應急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)��,近期出現(xiàn)一種惡意后門程序變種Backdoor_Poison.SAK�����,該變種通過對具有簽名的可執(zhí)行文件進行DLL劫持來加載到內存中���,使其不被防病毒軟件檢測其內部的結構情況����,誤認為此可執(zhí)行文件的進程是安全的。
該變種運行后����,會檢測受感染的系統(tǒng)環(huán)境,獲得臨時目錄名稱���,釋放臨時文件����。與此同時����,會在其系統(tǒng)目錄下釋放多個惡意程序文件,隨即將惡意程序文件注入到系統(tǒng)文件進程里并遠程創(chuàng)建一個線程執(zhí)行代碼���,給系統(tǒng)動態(tài)加載驅動���,并新建注冊表相關鍵值項。
另外���,注入了惡意程序的系統(tǒng)文件會創(chuàng)建一個瀏覽器IE進程并將自身加載到IE進程中�,與遠程指定的主機進行通信。在IE進程內會修改注冊表相關操作���,讓每次系統(tǒng)服務啟動的時候會自動加載運行遠程控制軟件�,并與服務端進行連接����。
專家提醒:
針對這種情況,國家計算機病毒應急處理中心建議廣大計算機用戶采取如下防范措施:
(一)針對已經(jīng)感染該惡意后門程序變種的計算機用戶����,我們建議立即升級系統(tǒng)中的防病毒軟件,進行全面殺毒�。
(二)針對未感染該惡意后門程序變種的計算機用戶,我們建議打開系統(tǒng)中防病毒軟件的“系統(tǒng)監(jiān)控”功能��,從注冊表���、系統(tǒng)進程、內存���、網(wǎng)絡等多方面對各種操作進行主動防御���,這樣可以第一時間監(jiān)控未知病毒的入侵活動����,達到全方位保護計算機系統(tǒng)安全的目的��。
