Exploit.JPEG
病毒别名:Exploit.Win32.MS04-028.gen[AVP]
处理时间:
威胁级别:★★
中文名称:
病毒类型:未知
影响系统:未打MS04-028补丁的英文版WinXP SP1
病毒行为:
该病毒利用MS04-028的GDI+漏洞,如果用户机器没有打相应补丁,并使用资源管理器浏览了该文件,可能导致用户机器从连接木马种植者指定的FTP地址,并从该FTP下载木马文件,并运行这些木马,以达到远程监控感染机器目的
1、当用户通过资源管理器浏览该文件后,病毒会利用GDI+漏洞,尝试溢出执行下载命令。如果溢出失败,则会导致资源管理器崩溃
2、如果溢出成功,则病毒尝试从以下FTP上下载远程控制文件
ftp://2××.1××.4×.2×/www/system/
文件包括:
文件名 大小
AdmDll.dll 90112
Fport.exe 114688
ServUStartUpLog.txt 663
VNCHooks.dll 32768
WinRun.dll 1407
WinRun.exe 811008
driver.log 1268
drives.exe 24576
execute.bat 150
filter3.ocx 0
irc-u.cfg 1052
irc-u.dat 0
irc-u.debug.log 16802
irc-u.dll 102400
kill.exe 26624
nc.exe 59392
nvsvc.exe 241664
nvsvc32.dll 36864
omnithread_rt.dll 45056
peek.exe 34304
raddrv.dll 29408
radmin.reg 713
rcrypt.exe 26112
reg.exe 40960
uptime.exe 6656
vns.exe 208896
3、运行execute.bat 文件,通过Radmin远程管理工具,建立后门,端口为10002。
4、会建立一个IRC连接,连接到#FurQ频道。