近日,江民反病毒中心截获了“砸波”变种ahlh。
据江民反病毒专家介绍,TrojanSpy.Zbot.ahlh“砸波”变种ahlh是“砸波”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“砸波”变种ahlh运行后,会自我复制到被感染计算机系统的“%USERPROFILE%Application DataLuuxso”文件夹下,并重命名为“vyom.exe”。在“%USERPROFILE%ApplicationDataKeoqb”文件夹下释放恶意程序“endys.qed”。
在被感染系统的后台秘密窃取系统中的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。在被感染系统的后台秘密窃取当前系统的配置信息,然后从骇客指定的站点“92.241.161.34”下载恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,给用户造成了不同程度的威胁。
据悉,“砸波”变种ahlh在运行完成后会将自身删除,从而达到消除痕迹的目的。该间谍木马的传播途径一般为网页木马,如果用户的计算机系统存在相应的漏洞,则会增加感染该病毒的风险,甚至是多次重复感染。另外,“砸波”变种ahlh会在被感染系统注册表启动项中添加键值,以此实现自动运行。
针对该病毒,江民已于第一时间更新病毒库,请广大用户及时升级查杀。
