以下的文章主要描述的是黑客模仿“紫霞仙子” 用戶淪為“至尊寶”，微點主動防御軟件自動捕獲了仿效《大話西游》經典橋段的“小雞”后門程序“Backdoor.Win32.Ruser.a”。

大家可曾記得《大話西游》里，紫霞仙子在至尊寶腳上打上了3個點，做為是她的奴隸的標志，表示整座山都是她的，至尊寶也是她的。近日，微點主動防御軟件自動捕獲了仿效《大話西游》經典橋段的“小雞”后門程序“Backdoor.Win32.Ruser.a”，該后門程序作者在“攻占”用戶電腦的同時，還不忘無厘頭一下，程序執行過程中會在注冊表項中寫一個“我是小雞”的鍵值。

給這個可憐的受害用戶打上“我是小雞”的中毒標志。據微點專家表示該后門程序通過“文件捆綁”途徑植入用戶計算機，運行后自動執行釋放后的木馬程序，等待接受黑客特定指令來控制用戶計算機，直接威脅用戶隱私文件及其系統安全。

該后門程序被執行后，首先嘗試關閉360安全衛士進程，達到自身保護的目的。同時，通過創建注冊表相關鍵值，達到生成反向連接的相關配置信息，并在注冊表中創建了一個無意義的鍵值“我是小雞”。

并釋放文件“mpeg4c32.dll”到系統目錄system32\下，修改并創建“RemoteAccess服務注冊表相關鍵值，達到“RemoteAccess”服務的替換，實現下次開機自啟動目的。之后，調用系統API開啟服務，服務成功啟動后，開啟“svchost”新進程，讀取后門種植者所設置的IP地址和端口號進行反向連接，連接成功后開啟線程與黑客進行通訊，等待接受黑客的控制。

此時，用戶計算機就變成了傀儡主機，黑客可以對用戶的計算機進行：文件管理、屏幕監控、超級終端、語音交流、系統控制、視頻監控。想像一下，你的私密照片被黑客拿走會是什么后果……

所有工作完成之后，可以打掃現場了。最后一步，該后門程序結束自身進程前通過隱藏調用命令刪除自身，傳統特征碼掃描對該后門程序失效。

防范措施

已安裝使用微點主動防御軟件的用戶，無須任何設置，微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本，微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版，微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”，請直接選擇刪除處理(如圖1);

圖1 主動防御自動捕獲未知病毒(未升級)

如果您已經將微點主動防御軟件升級到最新版本，微點將報警提示您發現"Backdoor.Win32.Ruser.a”，請直接選擇刪除(如圖2)。

圖2 升級后截獲已知病毒

對于未使用微點主動防御軟件的用戶，微點反病毒專家建議：

1、不要在不明站點下載非官方版本的軟件進行安裝，避免病毒通過捆綁的方式進入您的系統。

2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺，并開啟防火墻攔截網絡異常訪問，如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。

3、開啟windows自動更新，及時打好漏洞補丁。