经过多年的发展,很多恶意程序已经练就出一套隐藏自身,避免被发现的本领。这些手段包括冒充系统正常文件、将自身设置为隐藏属性,甚至以服务方式启动等等。卡巴斯基实验室近期检测到一种名为“刀疤”木马(Trojan.Win32.Scar.baao)的变种,就采用了上述多种手段保护自己。首先,感染系统后,木马会释放一个名为WinHelp32.exe的文件到系统文件夹,并删除木马自身。其实Windows系统真正的帮助文件名称应为为winhlp32.exe,木马释放的文件充当了“李鬼”的角色。不仅如此,这个假冒的文件还会将自身设置为隐藏属性,一般用户很难察觉。程序运行后,会调用services.exe加载自身为服务项,然后通过修改和调用svchost.exe进程,访问远程服务器,伺机接受远程指令,下载更多恶意程序到受感染计算机,给计算机安全造成重大隐患。
目前,卡巴斯基已可以成功查杀 “刀疤”木马及其变种,我们建议您尽快更新病毒库进行查杀以避免不必要的损失。