最近你是否有收到邮件提醒你所负责的网站具有"无限充值漏洞",如果有,请一定要谨慎处理,切不可轻易打开其中的附件。因为其中包括恶意后门程序,可以使计算机成为受害黑客控制的肉鸡。
卡巴斯基实验室对此类邮件分析后发现,其具有很强的迷惑性。 这些邮件会声称用户网站有漏洞,提示邮件接受者查看附件压缩包中的视频文件获取详情。如下图所示:
可以看到,此恶意程序的攻击是蓄意并且具有针对性的。因为其收件人地址很多都是一些知名网站、软件公司的相关邮箱,甚至还包括一些反病毒软件公司。一旦公司有人被感染,其计算机就会被完全控制,甚至造成公司机密泄漏,危害性极大。
如果邮件接收者不慎运行了附件中的可执行文件,则会显示对话框,让用户输入密码。其实,此时恶意程序已经被释放到系统盘的根目录下并自动运行,如下图所示:
此外,恶意程序还会在后台释放一个随机文件名的.lib文件到C:\Documents and Settings\All Users\DRM目录,经卡巴斯基反病毒软件检测,此lib文件为Backdoor.Win32.Agent.arjv后门程序。该文件会被加载为服务,自动连接远程主机,从而控制受感染计算机。此外,恶意程序还会会修改系统IAS服务指向后门程序,实现开机自动启动。后门程序还会检查自身文件是否被删除,如果被删除会自动创建,一般用户很难将其根除。
卡巴斯基已经可以成功查杀此后门程序,建议您及时升级反病毒数据库进行查杀。卡巴斯基同时提醒用户在接收到不明邮件时,千万不要轻易打开附件,以免感染造成损失。