江民11.12病毒播报:IMG-WMF漏洞利用者变种

11/12/2009来源:病毒数据库人气:4770

  江民今日提醒您注意:在今天的病毒中Exploit.IMG-WMF.xl“IMG-WMF漏洞利用者”变种xl和Trojan/StartPage.czn“初始页”变种czn值得关注。

  英文名称:Exploit.IMG-WMF.xl
  中文名称:“IMG-WMF漏洞利用者”变种xl
  病毒长度:20160字节
  病毒类型:漏洞病毒
  危险级别:★★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:492bf52cf703cc86b34e459fa70d3ddc
  特征描述:
  Exploit.IMG-WMF.xl“IMG-WMF漏洞利用者”变种xl是“IMG-WMF漏洞利用者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“IMG-WMF漏洞利用者”变种xl运行后,会在被感染系统的临时文件夹下释放恶意程序“svchost.exe”,还会在“%SystemRoot%\system32\drivers\”文件夹下释放两次同名但不同功能的恶意驱动程序“beep.sys”(会覆盖系统的同名文件),同时修改这些文件的时间属性,以此迷惑用户。其第一次释放的恶意驱动程序会关闭安全软件的自我保护,然后尝试结束大量指定的安全软件进程。利用映像文件劫持干扰安全软件的正常启动,监视系统中存在的窗口标题,如果发现窗口中存在特定的字符串(如“杀毒”、“木马”、“防御”等)便会将该窗口关闭。还会删除相关的注册表项,致使用户无法进入“安全模式”。“IMG-WMF漏洞利用者”变种xl第二次释放的恶意驱动程序会穿透部分文件系统还原软件的保护,并用“IMG-WMF漏洞利用者”变种xl替换系统文件“userinit.exe”。“IMG-WMF漏洞利用者”变种xl会利用释放的恶意程序“svchost.exe”对同网段的计算机进行溢出攻击。如果被攻击的系统未安装“MS08-067”补丁,则会被该病毒所感染。“IMG-WMF漏洞利用者”变种xl会感染除“A:”和“C:”分区外的所有“tar”、“cab”、“tgz”、“zip”和“rar”文件,并将名为“绿化.bat”的自身副本插入到这些文件中。“IMG-WMF漏洞利用者”变种xl还会将“URLmon.DLL”复制到临时文件夹下并重命名为“urlm0n.dll”,以供自身调用。其会连接骇客指定的URL“http://mmc.vyd*.com/ssave.txt”,然后根据该文件中的下载地址列表下载大量的恶意程序,致使用户遭受更大程度的损失。

  英文名称:Trojan/StartPage.czn
  中文名称:“初始页”变种czn
  病毒长度:288256字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:3310625f728e4744e6f19e7a43efdd1d
  特征描述:
  Trojan/StartPage.czn“初始页”变种czn是“初始页”家族中的最新成员之一,采用“Borland C++”编写,经过加壳保护处理。“初始页”变种czn运行后,会向系统桌面、快速启动栏、IE收藏夹等位置添加IE快捷方式,这些快捷方式均指向骇客指定的页面“http://www.114*.com.cn/lindex.html”。同时,“初始页”变种czn还会修改“傲游”、“腾讯TT”、“Firefox”等浏览器的快捷方式,使得这些浏览器在启动时也会自动访问该页面,从而给骇客带来了非法的经济利益。最后,“初始页”变种czn会访问指定页面“http://121.52.*.85/ClientInfo.aspx”进行推广数量的统计。