AVG提醒用户 谨防新型"后门"入侵程序

近期，AVG病毒实验室捕获了一种“后门”程序，该木马一旦进入到系统，就会长期驻留，获取用户信息发送到服务端。并且，该木马还会等待服务端指令，执行下载病毒、上传敏感数据等功能。

该“后门”程序利用目前较流行的“借尸”方法（以CREATE_SUSPENDED标志调用CreateProcess创建进程，通过调用ZwUnmapViewOfSection、VirtualAllocEx和ZwWriteVirtualMemory修改目标进程数据，然后调用ZwGetContextThread和ZwSetContextThread修改目标进程线程执行位置，最后调用ZwResumeThread恢复目标进程执行）去创建自己的“僵尸”进程，发挥“后门”的主要功能。

“僵尸”进程启动后，会获取所需API的地址。

并且检查自己的路径是否是windows\ggdrive32.exe，

如果不是在windows目录下，它会检查系统防火墙，并将ggdrive32.exe添加到系统防火墙授权程序列表中，检查杀软和系统维护工具进程，一旦发现，就会将其结束掉。

如果在windows目录下，它会创建一个线程，然后等待该线程返回。

该线程包含此木马的所有后门功能，包括：接受控制端命令、木马更新，扫描，下载上传数据，收集用户信息等功能，下图列出了该后门的部分命令和功能。

此类木马一旦入侵到您的系统，控制者会在您的系统中来去自如，危害相当严重。

目前，AVG已检测到此类后门程序为BackDoor.Generic15.BFOX，鉴于此木马的危害性严重，AVG提醒广大用户注意及时更新您的安全软件。并且AVG建议没有安装安全软件的用户可以在AVG中国官网上下载AVG中文免费版，对您的电脑以及个人信息进行保护。

AVG AntiVirus 18.4.3895 中文免费版

• 软件性质：国外软件
• 授权方式：共享版
• 软件语言：多国语言
• 软件大小：3248 KB
• 下载次数：1358 次
• 更新时间：2019/4/8 5:32:03
• 运行平台：WinXP,Win7...
• 软件描述：AVG杀毒软件永久免费版是一款强大的全功能网站防护解决方案，实时监测，保护您进行... [立即下载]