蠕虫W32.Rixobot劫持输入法开启后门_新闻资讯_中关村在线种植

发布时间：2020-04-19 14:21:32 阅读：次来源：挂锁厂家

蠕虫W32.Rixobot劫持输入法开启后门_新闻资讯_中关村在线

病毒类型：蠕虫

受影响的操作系统：Windows95/98/2000/Me/XP/Vista/NT，WindowsServer2003

病毒分析：

赛门铁克安全响应中心最近检测到一种新的蠕虫病毒--W32.Rixobot。该蠕虫会在受感染计算机中执行后门程序，通过该后门等待接收攻击者从IRC服务器发送来的命令。

运行后，W32.Rixobot会将自身拷贝到%SYSTEM%\目录下，命名为msnwm.exe；同时，它会释放驱动文件kernelx86.sys到%SYSTEM%\drivers\目录下（该驱动文件被检测为Hacktool.Rootkit）。该蠕虫还会修改注册表，使自己绕过Windows防火墙检测以及阻止多种安全工具和管理员工具的运行，并劫持系统输入法程序，令系统在加载输入法程序的同时将其加载运行。

W32.Rixobot主要通过移动磁盘、即时通讯程序和攻击计算机漏洞进行传播。当受感染计算机后门被打开后，该蠕虫会接收攻击者发来的以下命令：1）通过即时通讯程序传播该蠕虫；2）通过移动媒介传播该蠕虫；3）通过扫描主机漏洞传播该蠕虫；4）更新该蠕虫的版本。

诺顿安全专家建议：

1.全新2010版诺顿安全软件独创的基于信誉评级的全球智能云防护，使用赛门铁克的全球安全智能网络，实时对来自互联网的应用程序进行判断，协助用户抵御最新威胁。

2.诺顿安全软件的"通信监控技术"，可以识别并阻截疑似包含蠕虫威胁的通信，阻止蠕虫借助电子邮件和即时通讯工具以及其他连接，入侵用户计算机。

3.及时为应用软件和操作系统安装补丁程序，并将其更新至最新版本。

4.使用移动存储设备前先对其进行安全扫描，确认安全后再打开。

5.没有安装安全软件的用户可以访问http：//www.symantec.com.cn/trialware下载诺顿360（3.0版）、诺顿网络安全特警2010或诺顿防病毒2010试用版对病毒进行查杀。

6.使用诺顿2006版本及之后产品的现有用户，可以免费将产品升级至诺顿2010版本，升级网址http：//www.symantec.com.cn/nuc。