病毒预报 第七百三十九期

2017-12-08  来源 国家计算机病毒应急处理中心

国家计算机病毒应急处理中心通过对互联网的监测发现，一种后门程序Backdoor_SynTPHelpers出现。该后门程序会伪装成图片快捷方式，其文件属性为隐藏，通过诱使计算机用户点击该快捷方式进而启动病毒文件。

我们分析发现，当病毒文件启动后设置环境变量，创建注册表相关键值项，启动第二个病毒文件，退出自身。第二个文件启动后先利用系统进程命令打开一张密码卡的JPG图片用于迷惑计算机用户。随后创建目录复制自身到创建的目录下，复制上个启动文件到创建目录下。创建互斥体，退出自身，通过上一个病毒文件重新启动自身。再次被启动后一直尝试远程登陆受感染的计算机系统。

针对这种情况，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

（一）针对已经感染该后门程序的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面杀毒。

（二）针对未感染该后门程序的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能，从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知病毒的入侵活动，达到全方位保护计算机系统安全的目的。