2010年第一个工作周,“爱慕波变种”(Backdoor.Aimbot.go)来袭。
它是个后门病毒。运行后,会自我复制到被感染系统的“%SystemRoot%system32”文件夹下,重新命名为“xmconfig.exe”,文件属性为“系统、隐藏、只读”。它还会释放恶意驱动文件“msdirectx.sys”,用以隐藏自身进程。原病毒程序在安装完成后会自我删除。
“爱慕波”的主要“投毒”路径是:先执行一些恶意脚本内容,或将其插入正常网页,用户将不知不觉访问挂马站点;连接黑客指定的IRC服务器,与服务器进行命令交互,达到远程控制目的;在系统注册表的多个启动项中添加键值“stratas”,实现开机后自动运行。