关注恶意软件：

• 名称：“自动脚本”木马（Trojan-Clicker.Win32.AutoIt.m）

• 恶意软件类型：木马

• 长度：338735字节

• 加壳方式：UPX

• 脱壳后文件大小：707887字节

• 影响的平台：WIN9X/ME/NT/2000/XP/2003/Vista/Win7

具体表现：

        被“自动脚本”木马感染后，木马会释放以下文件到计算机：

        %sysdir%\CIDD_P\lasaa.exe
         %sysdir%\configuration\configuration.exe

        另外，还会下载以下文件：

        %sysdir%\CIDD_P\41646D696E6973747261746F72\1.exe
         %sysdir%\CIDD_P\41646D696E6973747261746F72\br.dll
         %sysdir%\CIDD_P\41646D696E6973747261746F72\clm.dll
         %sysdir%\CIDD_P\41646D696E6973747261746F72\nam.dll
         %sysdir%\CIDD_P\41646D696E6973747261746F72\nfie.dll

        修改注册表：

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
         HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

        “自动脚本”木马是用一种称作AutoIt的脚本语言生成的Windows可执行文件，AutoIt是一种脚本语言，它被设计用来在Windows GUI（用户界面）中进行自动操作。通过它可以组合使用模拟键击、鼠标移动和窗口/控件操作等来实现自动化任务，很适合用于编写用以完成重复性任务的脚本。由于这个特点，这种脚本也经常被恶意程序利用。

        为了迷惑用户，此恶意样本的程序图标采用文件夹图标，诱使用户放松警惕而点击运行，当用户点击后，该程序会生成并打开一个伪造的同名空文件夹，避免引起用户怀疑。

        然后，在系统路径 %sysdir%下建立隐藏文件夹CIDD_P和configuration，并释放文件 lsass.exe和configuration.exe, 这两个文件其实是一样的。之后会运行lsass.exe，并把configuration.exe加入自动启动。lsass.exe是系统进程的名字，恶意程序伪装成系统进程，借以迷惑用户。

        运行后的lsass.exe会疯狂的访问预先设置好的网址，而且会从其中的一些服务器上下载其他恶意程序到目录%sysdir%\CIDD_P\41646D696E6973747261746F72\下。

        lsass.exe运行过程中会隐藏自己的网络活动，使用常规的网络监测工具或命令如"netstat"命令不能监测到它的网络活动。

专家预防建议:

• 1.建立良好的安全习惯，不打开可疑邮件和可疑网站。

• 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

• 3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

• 4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

• 5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。

• 6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。

• 7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。