欢迎进入反病毒社区论坛，与技术人员互动交流进入

病毒摘要

该样本是黑客使用最为频繁得灰鸽子后门程序，使用“Delphi”语言编写，由微点主动防御软件自动捕获，采用加壳方式试图躲避特征码扫描，加壳后长度为341,295 字节，模仿微软图标，图标为“screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>”，使用“exe”扩展名，通过和 “木蚂蚁社区WINDOWS XP SP2 正版验证补丁”相捆绑诱骗用户点击，病毒主要用作远控后门使用。

病毒分析

该程序是一捆绑型木马，运行后释放1.exe和病毒程序svchost.exe（这是一个做过免杀的灰鸽子），并生成脚本文件1.vbs,其内容如下

补丁执行后同时病毒程序被执行，拷贝自身到目录“C:\Program Files\”下命名为svchost.exe，通过SCM写注册表将病毒拷贝“svchost.exe”注册成名为“Network”的服务并启动此服务；病毒通过批处理执行自删除。

相关注册表键值如下：

病毒主程序运行后，以挂起方式启动进程“iexplore.exe”，申请空间将自身代码写入，执行远程线程将写入的代码作为其一个线程运行，后台联网从网络空间上读取后门种植者所设置的IP地址和端口号进行反向连接，连接成功后与黑客进行通讯，接受黑客的控制（如代理，视频监控等），使被病毒感染主机伦为傀儡主机。


防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）；

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Backdoor.Win32.Huigezi.aemw”，请直接选择删除（如图2）。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window';}" border=0>

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。