黑客用C、VB等语言编程较为普遍,但最近炒得火热的汉语编程也被一些时髦的黑客用上了,今天我们要介绍的这个蠕虫程序“Worm.Win32.AutoRun.kkr”就是黑客用易语言编写的,据微点反病毒专家介绍,该蠕虫图标为“ ”,对于设置了不显示隐藏文件且隐藏已知扩展名的用户,有极大的欺骗性,该蠕虫主要目的为不断感染其他电脑及可移动介质刷取访问流量。
该蠕虫被执行后,弹出对话框提示用户该样本为“无效目录”,企图迷惑用户:
随后,复制自身至系统目录,释放易语言动态库文件。在用户“开始”菜单,“所有程序”中的“启动”文件夹内建立快捷方式,实现开机启动。之后,该蠕虫将测试联网状态,联网成功后尝试访问网络地址刷取访问流量。这将在一定程序上影响用户的正常上网速度。为了进一步传播,该蠕虫会感染移动存储设备,并将设备内全部文件夹设置为系统、隐藏、只读,并复制自身为文件夹总个数,名称与各文件夹同名。企图欺骗用户点击,通过可移动介质感染其他主机,达到传播目的。
防范措施
已安装使用微点主动防御软件的用户,无须任何设置,微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本,微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”,请直接选择删除处理(如图1);
图1 微点主动防御软件自动捕获未知病毒(未升级)
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现“ Worm.Win32.AutoRun.kkr”,请直接选择删除(如图2)。
图2 微点主动防御软件升级后截获已知病毒
对于未使用微点主动防御软件的用户,微点反病毒专家建议:
1、不要在不明站点下载非官方版本的软件进行安装,避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放,具体操作步骤:开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到“关闭自动播放”->双击->选择“已启用”。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新,及时打好漏洞补丁。