卡巴斯基中国地区每周病毒播报(2014年12月29日–2015年1月4日)
本周受关注恶意软件: 病毒名:Trojan.Win32.Lethic.a 文件大小: 20992字节 创建注册表: “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRun” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRunOnce” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” 创建文件: C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe 主要行为: 这是一个木马程序,运行后会将自己拷贝至”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe”,并添加到开机自启动,然后删除自身。接着其会通过远程线程注入的方式将恶意代码注入到系统进程”explorer.exe”中,并创建名为”zyan85asc”的互斥体,防止木马重复运行。最后该木马会连接远程地址”91.***.105.85:7700″,一旦连接成功则会允许远程主机控制受感染的电脑。此外,该木马程序还会使用Inline hook 的方式让当系统进程”explorer.exe”调用API “ntdll.RtlFreeHeap”时,执行其携带的恶意代码。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。