【賽迪網-IT技術報道】近日,微點主動防御軟件自動捕獲了一種U盤蠕蟲“Worm.Win32.AutoRun.fjg”,該蠕蟲最大的特點就是可以自動升級,這意味著黑客對付殺毒軟件的手段更加先進。自動升級的蠕蟲如果總是能夠在殺毒軟件升級前完成自身升級,那么使用特征碼掃描的殺毒軟件將對該種蠕蟲程序無能為力。
該蠕蟲程序采用WINDOWS默認可執行文件圖標 ,使用“exe”擴展名,通過“網頁木馬”、“移動存儲介質”等方式植入用戶計算機進行傳播,破壞安全模式、下載其他木馬程序到本地執行。
該蠕蟲程序被執行后,通過拷貝自身到系統任務計劃文件夾,使用批處理啟動自身。修改注冊表健值等手段實現開機自啟動,使用批處理執行自刪除以及隱藏自身。該蠕蟲程序運行后,還會遍歷進程查找正在執行的反病毒軟件進程并將其結束。解除電腦本身的“警備”之后,查找窗口名或類名與殺毒相關字符的窗口,通過向其發送相關消息使其關閉,造成用戶無法正常使用殺毒軟件和在網上查詢相關消息之后,該蠕蟲還會刪除相關注冊表項破壞安全模式,搜集被感染主機的mac地址,并把被感染主機的mac地址和感染的病毒版本發送至指定地址驗證病毒是否下載最新版本,來保持系統中病毒最新,這樣在殺毒軟件升級到最新版本前,可避免特征碼查殺。該蠕蟲還會把病毒副本“注冊.bat”壓縮進所有磁盤中的壓縮包,誘使用戶點擊。
為了讓該蠕蟲大范圍傳播,該蠕蟲通過在移動存儲設備中加入autorun.inf文件, 使用Windows自動播放功能來傳播病毒。
為了防止用戶上網尋求幫助,該蠕蟲還屏蔽多數安全網站。所有前期工作完成后,該蠕蟲就可以心安理得地連接互聯網下載其他病毒程序到本地執行。從上面的分析,我們可以看到,黑客的煞費苦心。
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(圖1所示);
圖1
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現“Worm.Win32.AutoRun.fjg”,請直接選擇刪除(圖2所示)。
圖2
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、建議關閉U盤自動播放,具體操作步驟:開始->運行->gpedit.msc->計算機配置->管理模板->系統->在右側找到“關閉自動播放”->雙擊->選擇“已啟用”。
3、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
4、開啟Windows自動更新,及時打好漏洞補丁。
(責任編輯:李磊)
