黑客模仿「紫霞仙子」　用戶淪為「至尊寶」

【賽迪網-IT技術報道】大家可曾記得《大話西遊》裡，紫霞仙子在至尊寶腳上打上了3個點，做為是她的奴隸的標誌，表示整座山都是她的，至尊寶也是她的。近日，微點主動防禦軟體自動捕獲了倣傚《大話西遊》經典橋段的「小雞」後門程序「Backdoor.Win32.Ruser.a」，該後門程序作者在「攻佔」用戶電腦的同時，還不忘無厘頭一下，程序執行過程中會在註冊表項中寫一個「我是小雞」的鍵值。給這個可憐的受害用戶打上「我是小雞」的中毒標誌。據微點專家表示該後門程序通過「文件捆綁」途徑植入用戶計算機，運行後自動執行釋放後的木馬程序，等待接受黑客特定指令來控制用戶計算機，直接威脅用戶隱私文件及其系統安全。

該後門程序被執行後，首先嘗試關閉360安全衛士進程，達到自身保護的目的。同時，通過創建註冊表相關鍵值，達到生成反向連接的相關配置信息，並在註冊表中創建了一個無意義的鍵值「我是小雞」。並釋放文件「mpeg4c32.dll」到系統目錄system32/下，修改並創建「RemoteAccess服務註冊表相關鍵值，達到「RemoteAccess」服務的替換，實現下次開機自啟動目的。之後，調用系統API開啟服務，服務成功啟動後，開啟「svchost」新進程，讀取後門種植者所設置的IP地址和端口號進行反向連接，連接成功後開啟線程與黑客進行通訊，等待接受黑客的控制。此時，用戶計算機就變成了傀儡主機，黑客可以對用戶的計算機進行：文件管理、屏幕監控、超級終端、語音交流、系統控制、視頻監控。想像一下，你的私密照片被黑客拿走會是什麼後果……

所有工作完成之後，可以打掃現場了。最後一步，該後門程序結束自身進程前通過隱藏調用命令刪除自身，傳統特徵碼掃瞄對該後門程序失效。

防範措施

已安裝使用微點主動防禦軟體的用戶，無須任何設置，微點主動防禦將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防禦都能夠有效清除該病毒。如果您沒有將微點主動防禦軟體升級到最新版，微點主動防禦軟體在發現該病毒後將報警提示您發現「未知木馬」，請直接選擇刪除處理（如圖1）；

如果您已經將微點主動防禦軟體升級到最新版本，微點將報警提示您發現"Backdoor.Win32.Ruser.a」，請直接選擇刪除（如圖2）。

對於未使用微點主動防禦軟體的用戶，微點反病毒專家建議：

1、不要在不明站點下載非官方版本的軟體進行安裝，避免病毒通過捆綁的方式進入您的系統。

2、盡快將您的殺毒軟體特徵庫升級到最新版本進行查殺，並開啟防火牆攔截網絡異常訪問，如依然有異常情況請注意及時與專業的安全軟體廠商聯繫獲取技術支持。

3、開啟windows自動更新，及時打好漏洞補丁。

(