“无限充值视频”邮件陷阱瞄准多个知名公司

　　最近你是否有收到邮件提醒你所负责的网站具有“无限充值漏洞”，如果有，请一定要谨慎处理，切不可轻易打开其中的附件。因为其中包括恶意后门程序，可以使计算机成为受害黑客控制的肉鸡。

　　卡巴斯基实验室对此类邮件分析后发现，其具有很强的迷惑性。 这些邮件会声称用户网站有漏洞，提示邮件接受者查看附件压缩包中的视频文件获取详情。如下图所示：

　　可以看到，此恶意程序的攻击是蓄意并且具有针对性的。因为其收件人地址很多都是一些知名网站、软件公司的相关邮箱，甚至还包括一些反病毒软件公司。一旦公司有人被感染，其计算机就会被完全控制，甚至造成公司机密泄漏，危害性极大。

　　如果邮件接收者不慎运行了附件中的可执行文件，则会显示对话框，让用户输入密码。其实，此时恶意程序已经被释放到系统盘的根目录下并自动运行，如下图所示：

　　此外，恶意程序还会在后台释放一个随机文件名的.lib文件到C:\Documents and Settings\All Users\DRM目录，经卡巴斯基反病毒软件检测，此lib文件为Backdoor.Win32.Agent.arjv后门程序。该文件会被加载为服务，自动连接远程主机，从而控制受感染计算机。此外，恶意程序还会会修改系统IAS服务指向后门程序，实现开机自动启动。后门程序还会检查自身文件是否被删除，如果被删除会自动创建，一般用户很难将其根除。

　　卡巴斯基已经可以成功查杀此后门程序，建议您及时升级反病毒数据库进行查杀。卡巴斯基同时提醒用户在接收到不明邮件时，千万不要轻易打开附件，以免感染造成损失。