JPEG病毒

10月9日,新加坡媒体消息称，10月6日利用微软新漏洞的图片病毒“图片黑客”(Exploit.Win32.MS04-028.gen)终于现身了，用户在浏览互联网图片时就会被木马病毒感染。

首例利用MS04-28 JPEG文件漏洞的传播的病毒。病毒代码内嵌于一个JPEG图片文件中。系统存在MS04-028漏洞的用户如果预览或打开该图片，病毒代码就会自动执行，下载病毒程序，开设后门。

KV系列杀毒软件9月17日以后的病毒库都可对该恶意图片进行查杀。如果您的系统已经打过微软的MS04-028安全补丁或安装过江民公司的“JPEG漏洞疫苗”，不会受此病毒的危害。

这种图片病毒最要命的是用户在不知不觉当中就会中木马病毒，从而被远程电脑得到控制权。

金山毒霸反病毒专家认为，如果用户浏览了带毒电子图片，就有可能泄露比如：网络游戏密码、QQ账号、个人银行密码等关键信息，而且这种图片病毒有可能是美女、风景、小动物、甚至是好友的照片！让人防不甚防。

据金山毒霸反病毒中心监测，到目前为止这种图片病毒感染的例子还不多，但是这说明利用这个漏洞来传播的图片病毒现身了，第一波图片病毒攻击已经开始。

最为可怕的是，以后还会有各种攻击出现，不仅会带木马病毒，包括一些恶性蠕虫、破坏数据的病毒都会以图片病毒作为掩饰来进行破坏。

金山反病毒中心介绍，该图片病毒利用MS04-028的GDI+漏洞，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，可能导致用户机器从连接木马种植者指定的FTP地址，并从该FTP下载木马文件，并运行这些木马，以达到远程监控感染机器目的。

专家提醒说，用户应立即打上各种应用程序补丁，如果怀疑机器染毒，电脑用户可查看机器10002端口有无程序访问，以防木马病毒偷盗各种密码。

目前，金山毒霸已经进行了紧急病毒库升级，可以防杀利用此漏洞制造的图片病毒。并且免费提供图片病毒专杀工具(下载地址：db.kingsoft.com/special/virtusspecial/JPEG/index.shtml)，欲了解更多相关信息请登录db.kingsoft.com信息安全网站。

具体技术特征分析如下：

1．一旦用户感染该病毒，就会从被感染反向连接到某ftp站点，并从该ftp服务器上下载如下文件：

AdmDll.dll

Fport.exe

VNCHooks.dll

WinRun.dll

WinRun.exe

driver.log

drives.exe

execute.bat

filter3.ocx

irc-u.cfg

irc-u.dat

irc-u.debug.log

irc-u.dll

kill.exe

nc.exe

nvsvc.exe

nvsvc32.dll

omnithread_rt.dll

peek.exe

raddrv.dll

radmin.reg

rcrypt.exe

reg.exe

uptime.exe

vns.exe

2．执行上述文件中的execute.bat文件，完成添加r_server后门服务。

3．并按照如下配置安装一个IRC的客户端：

server1=irc.p2pchat.net

port1=7777

login=Darkbro0d

channel=#FurQ

password=letmein

nick1=Track100Mbit

nick2=Trck100#1

sfv=1

user=Trackmaster

login=darkbro0d

4．在被感染机器上生成c:windowssystem32system目录其中包含nvsvc.exe和 winrun.exe两个文件

江民公司提醒您，及时安装微软的安全补丁程序或江民Jpeg文件漏洞防毒“疫苗”，并立即安装升级KV2005病毒库，开启KV的实时监控功能，确保您的系统不被已知和未知的恶意JPEG图片侵害。

微软补丁下载：http://www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx