近日,江民反病毒中心截获了 “苍蝇贼”变种cem。
江民反病毒专家介绍,TrojanDownloader.FlyStudio.cem“苍蝇贼”变种cem是“苍蝇贼”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“苍蝇贼”变种cem运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下释放由易语言编写的恶意DLL组件“dp1.fne ”、“krnln.fnr”、“HtmlView.fne”、“internet.fne”、“eAPI.fne”、“shell.fne”等,并复制到名为“%SystemRoot%\system32\5A8DCC\”的文件夹下。自我复制到“%SystemRoot%\system32\ACF7EF\”文件夹下,重新命名为“74BE16.EXE”。创建2个空文件夹“0F6226”和“76682F”,用于记录相关信息。
据悉,“苍蝇贼”变种cem运行时,会在被感染系统的后台连接骇客指定的站点,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“苍蝇贼”变种cem会通过U盘进行自身传播。另外,其会在被感染系统注册表启动项中添加新键、在“开始”文件夹中创建快捷方式“74BE16.lnk”,以此实现开机自启动。
针对该病毒,江民已于第一时间更新病毒库,请广大用户及时升级查杀。
