ARP联盟图文中心下载中心手机频道最近更新软件最近更新文章网络热点
您当前的位置→图文中心新闻资讯安全播报6月20日病毒播报:“MS08-067漏洞利用者”
站内搜索:

6月20日病毒播报:“MS08-067漏洞利用者”


2009/6/20  编辑:佚名 来源:本站整理 

在今日的病毒中“MS08-067漏洞利用者”变种fi、“魔兽贼”变种zk、“宝马下载器变种”和“脚本下载器148”都值得关注。

  一、今日高危病毒简介及中毒现象描述:

  “MS08-067漏洞利用者”变种fi是“MS08-067漏洞利用者”病毒家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,是一个由其它恶意程序释放出来的DLL功能组件。“MS08-067漏洞利用者”变种fi运行后,会在被感染系统的“%SystemRoot%\system32\drivers\”目录下释放恶意驱动程序“pcidump.sys”。篡改“%SystemRoot%\system32\drivers\etc\hosts”文件,通过域名映像劫持技术屏蔽大量安全类站点,使得用户无法获取安全资讯等信息。连接骇客指定的远程服务器站点,获取恶意程序下载地址列表“http://www.dfghdfsgv*sf.cn/new.txt”,然后在被感染计算机上下载指定的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制木马或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“MS08-067漏洞利用者”变种fi会隐藏“Windows文件保护”提示窗口,从而使得用户无法察觉到系统文件被替换。在被感染系统的磁盘根目录下创建“autorun.inf”(自动播放配置文件)和木马主程序文件“1.exe”(“MS08-067漏洞利用者”变种fi),文件属性设置为“系统、隐藏、只读“,以此实现双击盘符后激活病毒,从而达到了利用自动播放功能进行传播的目的。同时,“MS08-067漏洞利用者”变种fi还会对指定的大量IP地址或者随机对网上邻居进行扫描,并且利用“MS08-067”漏洞进行溢出攻击。被攻破的计算机会执行一些指令来进行恶意程序的下载和安装,从而可能蒙受到不同程度的损失。另外,“MS08-067漏洞利用者”变种fi会在所有磁盘分区中的“.html”和“.htm”扩展名的文件尾部添加恶意代码,以此进行网页挂马。该病毒还会感染除“C:\”以外分区中的“.exe”文件(不包括“qq.exe”和“360safe.exe”),由此可能导致程序被破坏而无法正常运行。尽快下载专杀工具:www.arpun.com 被感染的程序在运行后,会下载指定的恶意程序“http://www.dfsgsdfgvsfv*we.cn/gan.exe”并调用运行。

  “魔兽贼”变种zk是“魔兽贼”盗号木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“魔兽贼”变种zk运行后,会在被感染系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“w*.dll”(*为一串随机数字),安装完成后会将自我删除,以此消除痕迹。“魔兽贼”变种zk是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被插入到游戏进程“wow.exe”中。如果已经插入成功,便会利用消息钩子、内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的这些机密信息发送到骇客指定的远程服务器站点上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“魔兽贼”变种zk会在被感染系统中注册名为“softyinforwow1”的系统服务,以此实现木马的开机自动运行。

  “宝马下载器变种”(win32.troj.downbwm.104968),此毒为宝马下载器的一个变种。它针对主流杀毒软件设计有一定程度的对抗能力,当依靠免杀技术躲过检查后,就关闭杀软,然后下载其它木马。虽然最近一段时间我们的预警没有再介绍宝马下载器,但这并不意味着它就退出了“舞台”,只不过是由于其它类型的病毒比较活跃,吸引了注意力而已。昨日,宝马下载器以win32.troj.downbwm.104968这个变种又回到了感染量排行榜的前列。“宝马下载器变种”(win32.troj.downbwm.104968)的单日感染量为14万台次,且继续增长。它的行为与宝马系列一贯的做法一直,以免杀技术躲开杀软的检查后,就设法关闭杀软,为它准备下载进电脑的那些木马扫清“障碍”。

  “脚本下载器148”(js.Downloader.is.148),此毒为一款比较古老的脚本下载器。近来又出现了感染量增高。它能利用多款系统安全漏洞制造溢出事件,一旦成功,就会在所处电脑上下载大量其它木马。给用户造成损失。随着挂马传播大环境的“不景气”,老毒“脚本下载器148”(js.Downloader.is.148)的感染量进入6月后不断下滑,已经由月初的19万降至16万台次。该毒借助网页挂马传播,如果遇到来访电脑存在系统漏洞,就可以制造溢出事件,然后下载别的木马。同时它也利用U盘传播,对局域网用户有一定影响。就像月初时我们预计的那样,脚本木马的“市场低迷”继续低迷,只是几款老毒依靠不断更新变种和攻击网站来维持传播量。毒霸安全专家认为,这种情况还会持续较长时间,而且不能为此就放松对脚本木马的警惕。随着高考招生工作的开始,各高校网站流量增大,被攻击的次数也较平时明显增加,如果在此期间有影响较大的新漏洞出现,有可能令脚本木马的市场再次复苏。

  二、针对以上病毒,比特网安全频道建议广大用户:

  1、最好安装专业的杀毒软件进行全面监控并及时升级病毒代码库。建议用户将一些主要监控经常打开,如邮件监控、内存监控等,目的是防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

  2、请勿随意打开邮件中的附件,尤其是来历不明的邮件。企业级用户可在通用的邮件服务器平台开启监控系统,在邮件网关处拦截病毒,确保邮件客户端的安全。

  3、企业级用户应及时升级控制中心,并建议相关管理人员在适当时候进行全网查杀病毒。另外为保证企业信息安全,应关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

参考消息:http://www.arpun.com/  截至记者发稿时止,江民、金山的病毒库均已更新,并能查杀上述病毒。感谢江民科技、金山毒霸为比特网安全频道提供病毒信息。

更多精彩,请查看本类栏目: 新闻资讯 - 安全播报
除非注明,ARP联盟文章来于网络,投稿原创等,转载请以链接形式标明本文地址。
本文地址:http://www.arpun.com/article/3790.html

相关文章
  • ·[图文]2015年6月29日俄罗斯圣彼得堡,UFO追随陨石?保护人类?
  • ·2015年6月30日最新eset nod32激活码 nod32注册码 用户名和密码
  • ·[组图]2015年6月印度坎普尔,小男孩用手机拍到碟形UFO
  • ·[图文]06月29日,SpaceX-猎鹰9号火箭升空爆炸
  • ·2015年6月29日最新eset nod32激活码 nod32注册码 用户名和密码
  • ·[图文]6.28支付宝日有什么优惠 6月28日支付宝日优惠介绍
  • ·2015年6月28日最新eset nod32激活码 nod32注册码 用户名和密码
  • ·2015年6月27日最新eset nod32激活码 nod32注册码 用户名和密码
  • 发表评论
    栏目列表
    阅读排行
    本类最新
    网站帮助 - 广告合作 - 下载声明 - 网站地图