近日，知名信息安全厂商卡巴斯基发布病毒播报，提醒用户注意一款恶意程序名为Trojan.W in32.Agent.xsil的下载器木马。

据悉，此木马运行后会将自身拷贝为临时目录下，之后会挂钩输入法相关函数并向explorer.exe发送 WM_INPUTLANGCHANGEREQUEST 消 息 使 得 explorer.exe进程运行木马。之后木马会随机从AppMgm t、Netman、CryptSvc等 服 务中选择一个，并将自身修改为DLL格式替换原服务对应的DLL，而后将相应的服务设置为自动启动。这样当系统启动这些服务时就会启动木马。为防止用户进入安全模式，木马会删除安全模式相关注册表。木马还会将用户网卡的MAC地 址 发 送 到 87.138.250.***/aa*/Count.asp?进行安装量统计 。 木 马 会 从 54.169.9.***、115.238.237.***、61.132.227.** 等地址下载其他恶意程序。

卡巴斯基提醒广大用户及时更新反病毒产品的病毒库，并定期为系统打补丁，不打开可疑邮件和可疑网站，不随意接收聊天工具上传送的文件以及打开发过来的网站链接，使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描，不从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。