瑞星:
瑞星:“武漢熱線”、“夸克電影網”等網站被IE0day漏洞“臺風”掛馬
當日安全綜述:
據瑞星“云安全”系統統計,上周末期間,共有1,556,441人次的網民遭到網頁掛馬攻擊,瑞星共截獲了243,092個掛馬網址。其中“武漢熱線游戲頻道”和“夸克電影網”已經被黑客使用最新的IE0day漏洞“臺風”進行掛馬。
當日被掛馬網站Top5:
1、“中國園林商情網”:
18yl.18yl.com/MemberCenter/ent/DefaultS5.aspx?guid=e46723b3-3060-44e3-ab15-45bb01d49047,
被嵌入的惡意網址為** org:2000/360/2005/index.html。
2、“MSNCN網站導航論壇”:bbs.msncn.com/forumdisplay.php?fid=17,
被嵌入的惡意網址為** net/uc/data/logs/log.htm??18。
3、“武漢熱線游戲頻道”:
game.wuhan.net.cn/game/html/cheat/pcgame/20090504/28244.html,
被嵌入的惡意網址為**. cc/data/backup/yx/tt.htm。
4、“江蘇互聯星空”:mag2.js.vnet.cn,
被嵌入的惡意網址為** com/html/tiyu/zt/wj/index11.htm?54321。
5、“夸克電影網”:quacor.sx.chinanews.com.cn/show.php?contentid=39501,
被嵌入的惡意網址為** cn/images/my/tt.htm?01。
當日最流行木馬病毒:
Backdoor.Win32.Gpigeon2008.fze(灰鴿子后門)“云安全”系統共收到64656次用戶上報。該病毒通過網絡傳播,病毒會偷竊用戶隱私信息,還可能遠程控制用戶計算機,給用戶計算機安全帶來極大危害。
江民:
江民今日提醒您注意:在今天的病毒中Trojan/Vilsel.axp“危鬼”變種axp和Trojan/DNSSmokva.am“DNS騙子”變種am值得關注。
英文名稱:Trojan/Vilsel.axp
中文名稱:“危鬼”變種axp
病毒長度:13948字節
病毒類型:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:d896d1cca5dc9af6e0ee01d9f598a303
特征描述:
Trojan/Vilsel.axp“危鬼”變種axp是“危鬼”家族中的最新成員之一,采用“Microsoft Visual C++”編寫,經過加殼保護處理。“危鬼”變種axp運行后,會在被感染系統的“%SystemRoot%\system32\”文件夾下創建惡意DLL組件“kb*.dll”(8位隨機數),在系統臨時文件夾“%USERPROFILE%\Local Settings\Temp\”下創建兩個臨時文件,同時還會創建配置文件“%SystemRoot%\system32\wsconfig.db”和“%SystemRoot%\system32\dllcache\bmtpws31.dat”。“危鬼”變種axp會把系統文件“C:\WINDOWS\system32\imm32.dll”備份為“C:\WINDOWS\system32\imm32.dll.bak”,之后關閉系統文件保護功能,并修改“imm32.dll”文件的入口代碼,以此實現調用病毒組件的目的。在執行病毒組件的同時,其仍會執行系統組件自身的功能,以此增強了自身的隱蔽性。“危鬼”變種axp釋放的DLL是一個專門盜取“夢幻誅仙”網絡游戲會員賬號的木馬程序,其會在被感染系統的后臺秘密監視用戶系統中運行的所有應用程序的窗口標題,然后利用鍵盤鉤子、內存截取或封包截取等技術盜取網絡游戲玩家的游戲賬號、游戲密碼、所在區服、角色等級、金錢數量、倉庫密碼等信息,并在后臺將竊得的信息發送到駭客指定的頁面“http://denglu.foxye**oxox.com:8085/lin.asp”上(地址加密存放),致使網絡游戲玩家的游戲賬號、裝備、物品、金錢等丟失,給游戲玩家造成了不同程度的損失。另外,“危鬼”變種axp在安裝完畢后會將自我刪除,以此消除痕跡。
英文名稱:Trojan/DNSSmokva.am
中文名稱:“DNS騙子”變種am
病毒長度:20992字節
病毒類型:木馬
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:66d386e50d39caf7407a0c55aa45a832
特征描述:
Trojan/DNSSmokva.am“DNS騙子”變種am是“DNS騙子”家族中的最新成員之一。“DNS騙子”變種am會通過修改注冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”下相關鍵值的方式,實現篡改系統DNS設置的目的。其會將“本地連接”的DNS服務器地址設置為“85.255.*.85”(首選)和“85.255.112.236”(備用),當被感染系統用戶在提交域名時,可能會被該DNS服務器進行惡意解析,從而被引導至惡意站點上,致使用戶面臨極大的風險和威脅。
卡巴斯基:
卡巴斯基:警惕后門木馬隱蔽手段升級
經過多年的發展,很多惡意程序已經練就出一套隱藏自身,避免被發現的本領。這些手段包括冒充系統正常文件、將自身設置為隱藏屬性,甚至以服務方式啟動等等。卡巴斯基實驗室近期檢測到一種名為“刀疤”木馬(Trojan.Win32.Scar.baao)的變種,就采用了上述多種手段保護自己。首先,感染系統后,木馬會釋放一個名為WinHelp32.exe的文件到系統文件夾,并刪除木馬自身。其實Windows系統真正的幫助文件名稱應為為winhlp32.exe,木馬釋放的文件充當了“李鬼”的角色。不僅如此,這個假冒的文件還會將自身設置為隱藏屬性,一般用戶很難察覺。程序運行后,會調用services.exe加載自身為服務項,然后通過修改和調用svchost.exe進程,訪問遠程服務器,伺機接受遠程指令,下載更多惡意程序到受感染計算機,給計算機安全造成重大隱患。
目前,卡巴斯基已可以成功查殺 “刀疤”木馬及其變種,我們建議您盡快更新病毒庫進行查殺以避免不必要的損失。
(新聞稿 2010-01-19)