恶意程序感染计算机有多种途径,例如通过电子邮件、网页挂马、移动存储设备等。但是,大部分这些感染途径中都包括一个共同点,即诱骗用户点击或运行某个文件。近日,卡巴斯基实验室就发现了一个下载器木马采用了上述典型的感染手段。这种名为"诱惑视频"的下载器木马(Trojan-Dropper.Win32.Flystud.abo)会将自身伪装成一个颇具吸引力的视频文件,诱使用户点击运行,从而感染用户计算机。
"诱惑视频"下载器木马本身为一个可执行文件,文件大小为35.4M,但其图标却显示为视频文件,欺骗性很强。如下图所示:
此木马采用易语言编写。一旦计算机用户放松警惕,点击运行了此文件,确实会播放一段视频。但是,用户不知道的是,它还会在后台偷偷释放并运行多个恶意程序,释放位置为WINRAR文件夹下。如下图所示:
其中,木马释放的释放的run.exe文件经卡巴斯基反病毒软件检测为Trojan.Win32.FlyStudio.vk木马,而svchost.exe则为Trojan.Win32.PopUpper.bh木马。这些恶意程序常驻系统内存,为计算机带来很大的危害。下图为正在运行的木马进程:
不仅如此,此木马还会在创建启动项,随系统自动启动。并且自动连接远程服务器,下载更多恶意程序到受感染计算机,伺机窃取用户的机密信息,发送给远程黑客。
目前,卡巴斯基安全产品已经可以成功查杀"诱惑视频"下载器木马以及它释放的各种恶意程序,我们建议您尽快升级反病毒数据库,及时进行查杀,避免感染造成损失。卡巴斯基实验室还提醒广大计算机用户,一定要养成良好的计算机使用习惯,不要轻易打开来历不明的文件,尤其是可执行文件。
