國家計算機病毒應急處理中心通過對互聯網的監測發現,近期出現一種新型惡意木馬程序Trojan_Confuse.A。該木馬程序是一個經過變形、混淆的程序文件,其目的就是偽裝成系統的正常文件。
該木馬程序運行後,會利用全局消息鉤子注入指定文件到受感染操作系統中的其他進程中,啟動宿主進程,並注入惡意程序指令代碼,同時修改EIP執行自己的指令代碼,使計算機用戶認為是正常的文件進程在運行。與此同時,該惡意木馬程序還會通過修改註冊表中的相關鍵值項將自身加載為開機自動啟動。
另外,該惡意木馬程序還會迫使受感染的操作系統主動連接訪問互聯網絡中指定的Web服務器,下載其他木馬、病毒等惡意程序。
注:EIP又叫指令指針寄存器。存放當前指令的下一條指令的地址。CPU該執行哪條指令就是通過IP來指示的。EIP是32位機的指令寄存器。
專家提醒:
針對這種情況,國家計算機病毒應急處理中心建議廣大計算機用戶採取如下防範措施:
(一)針對已經感染該惡意木馬程序的計算機用戶,我們建議立即升級系統中的防病毒軟體,進行全面殺毒。
(二)針對未感染該惡意木馬程序的計算機用戶,我們建議打開系統中防病毒軟體的“系統監控”功能,從註冊表、系統進程、內存、網絡等多方面對各種操作進行主動防禦,這樣可以第一時間監控未知病毒的入侵活動,達到全方位保護計算機系統安全的目的。