近日，信息安全廠商卡巴斯基發(fā)布病毒播報(bào)，提醒用戶注意一款惡意程序名為Trojan.Win32.Agent.xsil的下載器木馬。

據(jù)悉，此木馬運(yùn)行后會(huì)將自身拷貝為臨時(shí)目錄下，之后會(huì)掛鉤輸入法相關(guān)函數(shù)并向explorer.exe發(fā)送WM_INPUTLANGCHANGEREQUEST消息使得explorer.exe進(jìn)程運(yùn)行木馬。之后木馬會(huì)隨機(jī)從AppMgmt、Netman、CryptSvc等服務(wù)中選擇一個(gè)，并將自身修改為DLL格式替換原服務(wù)對(duì)應(yīng)的DLL，而后將相應(yīng)的服務(wù)設(shè)置為自動(dòng)啟動(dòng)。這樣當(dāng)系統(tǒng)啟動(dòng)這些服務(wù)時(shí)就會(huì)啟動(dòng)木馬。為防止用戶進(jìn)入安全模式，木馬會(huì)刪除安全模式相關(guān)注冊(cè)表。木馬還會(huì)將用戶網(wǎng)卡的MAC地址發(fā)送到87.138.250.***/aa*/Count.asp?進(jìn)行安裝量統(tǒng)計(jì)。木馬會(huì)從54.169.9.***、115.238.237.***、61.132.227.**等地址下載其它惡意程序。

卡巴斯基提醒廣大用戶及時(shí)更新反病毒產(chǎn)品的病毒庫(kù)，并定期為系統(tǒng)打補(bǔ)丁，不打開可疑郵件和可疑網(wǎng)站，不隨意接收聊天工具上傳送的文件以及打開發(fā)過(guò)來(lái)的網(wǎng)站鏈接，使用移動(dòng)介質(zhì)時(shí)***使用鼠標(biāo)右鍵打開使用，必要時(shí)先要進(jìn)行掃描，不從不可靠的渠道下載軟件，因?yàn)檫@些軟件很可能是帶有病毒的。