瑞星:
瑞星: “博客大巴”、“樂趣網”等網站被掛馬
當日安全綜述:
據瑞星“云安全”系統統計,1月19日,共有1,614,760人次的網民遭到網頁掛馬攻擊,瑞星共截獲了305,809個掛馬網址。由于黑客已經公布了“臺風”漏洞的惡意代碼生成器,普通黑客只要利用該軟件,就能很方便的生成利用代碼,從而導致該漏洞已經成為黑客掛馬利用的最熱門漏洞。目前瑞星截獲的前100大惡意網站中,有一半以上利用了該漏洞。專家提醒用戶,裝瑞星的用戶不用擔心,即使不安裝微軟的官方補丁,瑞星軟件也可以直接攔截該漏洞的攻擊。
當日被掛馬網站Top5:
1、“博客大巴”:ndyle.blogbus.com,
被嵌入的惡意網址為** org:2988/log/ie.html。
2、“火狐圖庫”:pic.skyhu.com/html/youXi/200812/30/273.html,
被嵌入的惡意網址為** org:2988/log/ie.html。
3、“樂趣網”:xz.netsh.com/eden/bbs/787353/html/tree_7809930.html,
被嵌入的惡意網址為**.org:2988/log/ie.html。
4、“2010無錫教育”:88mm.wxjy.com.cn/upload_files/1.html,
被嵌入的惡意網址為** net/indexx.htm。
5、“3158致富網”:
www.3158.cn/saygao.html?Urlid=12961&Url=http://www.3158.cn/?site=saygao_V1122,
被嵌入的惡意網址為** org:169/360/16/index.html。
當日最流行木馬病毒:
Trojan.Win32.StartPage.okf(流氓主頁木馬)“云安全”系統共收到62404次用戶上報。病毒會在桌面上生成一個和原來的IE圖標完全相同的圖標,用戶打開這個假的IE圖標就會訪問黑客指定的網站。病毒還會劫持瀏覽器的搜索引擎和多種第三方瀏覽器軟件,到達提高網站點擊率的目的,并且還會在后臺下載安裝流氓軟件。
江民:
江民今日提醒您注意:在今天的病毒中TrojanDownloader.Agent.cbms“代理木馬”變種cbms和TrojanDownloader.Adload.hwk“埃德羅”變種hwk值得關注。
英文名稱:TrojanDownloader.Agent.cbms
中文名稱:“代理木馬”變種cbms
病毒長度:40960字節
病毒類型:木馬下載器
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:f3c896b3ef4f2dd2cd6e7261c03df17e
特征描述:
TrojanDownloader.Agent.cbms“代理木馬”變種cbms是“代理木馬”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,是某惡意軟件集合中的功能組件。“代理木馬”變種cbms會在被感染系統的后臺調用“explorer.exe”,然后利用“explorer.exe”去調用惡意DLL組件“icccy.dll”(TrojanDownloader.Adload.hwk),以此繞過防火墻的監控。被調用的惡意組件運行后會執行其它的惡意操作。“代理木馬”變種cbms會在被感染系統的后臺連接駭客指定的站點“http://www.fy**ya.cn/”,下載惡意程序“pipi_211_115.exe”并自動調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門、惡意廣告程序或流氓軟件等,致使用戶面臨更多的威脅。
英文名稱:TrojanDownloader.Adload.hwk
中文名稱:“埃德羅”變種hwk
病毒長度:12800字節
病毒類型:木馬下載器
危險級別:★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:7bdd3027c95b0b7a3520768dc363afc5
特征描述:
TrojanDownloader.Adload.hwk“埃德羅”變種hwk是“埃德羅”家族中的最新成員之一,采用高級語言編寫,經過加殼保護處理。“埃德羅”變種hwk是一個由其它惡意程序釋放出來的DLL功能組件,運行后會在被感染系統的后臺連接駭客指定的URL“http://www.dow**2580.com/maindll/softsize.asp”獲取配置信息,然后根據其中的設置下載惡意程序“http://www.dow**2580.com/maindll/flymy.dll”并調用運行。其所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,從而給用戶造成了不同程度的威脅。另外,“埃德羅”變種hwk會在被感染系統注冊表啟動項中添加鍵值“csiddll”,以此實現開機自動運行。
卡巴斯基:
卡巴斯基:警惕后門木馬隱蔽手段升級
經過多年的發展,很多惡意程序已經練就出一套隱藏自身,避免被發現的本領。這些手段包括冒充系統正常文件、將自身設置為隱藏屬性,甚至以服務方式啟動等等。卡巴斯基實驗室近期檢測到一種名為“刀疤”木馬(Trojan.Win32.Scar.baao)的變種,就采用了上述多種手段保護自己。首先,感染系統后,木馬會釋放一個名為WinHelp32.exe的文件到系統文件夾,并刪除木馬自身。其實Windows系統真正的幫助文件名稱應為為winhlp32.exe,木馬釋放的文件充當了“李鬼”的角色。不僅如此,這個假冒的文件還會將自身設置為隱藏屬性,一般用戶很難察覺。程序運行后,會調用services.exe加載自身為服務項,然后通過修改和調用svchost.exe進程,訪問遠程服務器,伺機接受遠程指令,下載更多惡意程序到受感染計算機,給計算機安全造成重大隱患。
目前,卡巴斯基已可以成功查殺 “刀疤”木馬及其變種,我們建議您盡快更新病毒庫進行查殺以避免不必要的損失。
(新聞稿 2010-01-21)