金山毒霸：新遠控木馬一按空格就觸發(fā) 應(yīng)立刻查殺

網(wǎng)友小Z求助：“一按空格就報加載twain32.dll時出錯，鍵盤都沒法用了。”11月16日，金山毒霸云安全捕獲到一類遠程控制木馬，木馬創(chuàng)建的快捷方式使用空格做為快捷鍵，按一次空格，木馬就執(zhí)行一次。當木馬程序被某些殺毒軟件刪除時，按空格會立刻報錯。

圖1 簡單刪除病毒文件之后，按空格立刻報錯

金山毒霸安全專家指出，這種新型遠程控制木馬寄生于某些熱門游戲破解補丁或游戲修改器中，傳播者聲稱該游戲破解工具或游戲修改器會被殺毒軟件誤報，要運行須關(guān)閉殺毒軟件。

這種描述很容易突破游戲玩家的心理防線，若玩家關(guān)閉殺毒軟件后運行所謂“游戲修改器或破解工具”。一個遠程控制木馬會立刻運行，病毒同時會創(chuàng)建一個快捷方式，使用空格鍵來運行該快捷方式。

圖2 病毒創(chuàng)建的快捷方式，可見按空格會導(dǎo)致病毒程序運行

金山毒霸安全專家指出，任何修改系統(tǒng)啟動項的行為都會觸發(fā)殺毒軟件報警，病毒作者創(chuàng)建這種快捷方式，用空格鍵來啟動病毒，可以逃避殺毒軟件檢測。僅當用戶敲擊空格鍵時，才會導(dǎo)致遠程控制木馬運行。

部分殺毒軟件在處理該病毒時，只是刪除了病毒執(zhí)行文件，而未將病毒創(chuàng)建的快捷方式刪除。中毒用戶按空格鍵時，就會立刻報告“加載twain32.dll時出錯”。由于該病毒的最終目的是遠程控制用戶電腦，使玩家面臨極大危險。建議發(fā)現(xiàn)按空格鍵異常的網(wǎng)友立刻使用金山毒霸強力查殺。

圖3 金山毒霸可完全清除該遠程控制木馬