来自江民公司快速反病毒小组的最新消息,近日,一种名为“黑客核心”(Hack/APCore)的黑客程序,正通过多种途径在互联网悄悄潜伏,该黑客程序可以允许黑客进行未经授权的非法访问。和传播黑客程序BO等相比,这个黑客程序能让黑客控制受害机器,可以修改系统注册表;传送文件;结束或者启动一些进程。目前,该黑客程序正通过多种途径在互联网潜伏,黑客可以利用它伺机作案。
江民反病毒专家介绍,“黑客核心”(Hack/APCore)的黑客程序在WINDOWS的SYSTEM目录下存在大小为28160字节的可执行文件,江民科技监视到的该文件名称是qhedxik.exe ,实际上该文件名称是由7个字符随机组成的,并不固定,也可能也会以别的形式出现。该黑客程序能侵害的目标系统为所有WINDOWS操作系统。
黑客程序运行时,会在WINDOWS的TEMP临时文件目录下生成dll文件,文件大小是69632字节,其实该文件就是该黑客程序的原始代码,并将自身和dll文件都拷贝到WINDOWS的SYSTEM目录下。然后修改系统注册表,使得系统每次启动后都能自动运行。
该黑客程序最显著的特征是和Explorer.exe融合,在上面下一个Hook(钩子程序),只要Windows 的Explorer.exe 启动,该黑客程序就会随着启动、运行。
该黑客程序另一个显著的特征是能监视自身的系统注册表键的修改:如果发现自身的注册表键值被修改或者被删除,它能自动恢复对系统注册表的修改。
该黑客程序还能连接IRC服务器指定频道,等待接受外界的指令。这样黑客就能通过该黑客程序非授权地对该受害机器进行访问。
江民公司提醒用户,针对“黑客核心”(Hack/APCore)的黑客程序,江民已在第一时间内升级了病毒库,用户只要及时升级手中的江民杀毒软件到最新病毒库,打开六套实时监控系统,就可有效防杀该黑客程序。江民杀毒软件独具的注册表监视功能,可以实时监测到该黑客程序修改注册表,特别提醒用户充分利用。