瑞星:
瑞星: “博客大巴”、“樂趣網”等網站被掛馬
當日安全綜述:
據瑞星“云安全”系統統計,1月19日,共有1,614,760人次的網民遭到網頁掛馬攻擊,瑞星共截獲了305,809個掛馬網址。由于黑客已經公布了“臺風”漏洞的惡意代碼生成器,普通黑客只要利用該軟件,就能很方便的生成利用代碼,從而導致該漏洞已經成為黑客掛馬利用的最熱門漏洞。目前瑞星截獲的前100大惡意網站中,有一半以上利用了該漏洞。專家提醒用戶,裝瑞星的用戶不用擔心,即使不安裝微軟的官方補丁,瑞星軟件也可以直接攔截該漏洞的攻擊。
當日被掛馬網站Top5:
1、“博客大巴”:ndyle.blogbus.com,
被嵌入的惡意網址為** org:2988/log/ie.html。
2、“火狐圖庫”:pic.skyhu.com/html/youXi/200812/30/273.html,
被嵌入的惡意網址為** org:2988/log/ie.html。
3、“樂趣網”:xz.netsh.com/eden/bbs/787353/html/tree_7809930.html,
被嵌入的惡意網址為**.org:2988/log/ie.html。
4、“2010無錫教育”:88mm.wxjy.com.cn/upload_files/1.html,
被嵌入的惡意網址為** net/indexx.htm。
5、“3158致富網”:
www.3158.cn/saygao.html?Urlid=12961&Url=http://www.3158.cn/?site=saygao_V1122,
被嵌入的惡意網址為** org:169/360/16/index.html。
當日最流行木馬病毒:
Trojan.Win32.StartPage.okf(流氓主頁木馬)“云安全”系統共收到62404次用戶上報。病毒會在桌面上生成一個和原來的IE圖標完全相同的圖標,用戶打開這個假的IE圖標就會訪問黑客指定的網站。病毒還會劫持瀏覽器的搜索引擎和多種第三方瀏覽器軟件,到達提高網站點擊率的目的,并且還會在后臺下載安裝流氓軟件。
江民:
江民今日提醒您注意:在今天的病毒中TrojanDownloader.BHO.ajg“BHO劫持者”變種ajg和Backdoor/Emegrab.d“霸占者”變種d值得關注。
英文名稱:TrojanDownloader.BHO.ajg
中文名稱:“BHO劫持者”變種ajg
病毒長度:128000字節
病毒類型:木馬下載器
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:5b3fbce3698987d09c5cfd9f14a54a46
特征描述:
TrojanDownloader.BHO.ajg“BHO劫持者”變種ajg是“BHO劫持者”家族中的最新成員之一,采用高級語言編寫,經過加殼保護處理。“BHO劫持者”變種ajg是由其它惡意程序釋放出來的DLL功能組件,其文件描述信息會被偽裝成某知名的播放器,以此增強了自身的迷惑性。“BHO劫持者”變種ajg會在當前用戶桌面上創建IE快捷方式“internetexplorer.lnk”,運行后會自動打開駭客指定的惡意站點“http://w.7**77.cn”。還會通過注冊BHO的方式,致使用戶在打開IE瀏覽器時會自動連接至惡意站點“http://w.7**77.cn”。“BHO劫持者”變種ajg會在后臺將被感染系統的信息和當前系統正在運行的進程提交到指定URL“http://www.222**3.com/interface.asp?count=%s&data=%s©=%s&info=%s”上,還會下載惡意程序下載列表“http://1.222**3.com/ie.txt”,之后下載文件中指定的惡意程序并自動調用運行。其中,所下載的惡意程序可能為網絡游戲盜號木馬、遠程控制后門或惡意廣告程序(流氓軟件)等,致使用戶面臨更多的威脅。另外,“BHO劫持者”變種ajg會在被感染系統中將自身注冊成BHO(瀏覽器輔助對象)“FlashGetBHO”,以此實現隨IE瀏覽器的啟動而加載運行。
英文名稱:Backdoor/Emegrab.d
中文名稱:“霸占者”變種d
病毒長度:208896字節
病毒類型:后門
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:50d415bf5a4342920ef2b527ad0c77af
特征描述:
Backdoor/Emegrab.d“霸占者”變種d是“霸占者”家族中的最新成員之一,采用“Microsoft Visual C++ 7.0”編寫。“霸占者”變種d運行后,會通過查找相關注冊表項的方式獲取“Far”、“total commander”、“windows commander”、“cuteftp”等軟件保存的FTP信息,并且會將FTP地址、用戶名及密碼發送到指定的站點“http://bugogabug*.ru/index.php?d=FTP_GRABBER1:*”上。還會搜集計算機中存儲的E-mail信息,從而造成被感染系統用戶私密信息的泄露。另外,“霸占者”變種d會在計算機的特定端口上建立代理服務,致使被感染系統淪為駭客的跳板。
卡巴斯基:
卡巴斯基:警惕后門木馬隱蔽手段升級
經過多年的發展,很多惡意程序已經練就出一套隱藏自身,避免被發現的本領。這些手段包括冒充系統正常文件、將自身設置為隱藏屬性,甚至以服務方式啟動等等。卡巴斯基實驗室近期檢測到一種名為“刀疤”木馬(Trojan.Win32.Scar.baao)的變種,就采用了上述多種手段保護自己。首先,感染系統后,木馬會釋放一個名為WinHelp32.exe的文件到系統文件夾,并刪除木馬自身。其實Windows系統真正的幫助文件名稱應為為winhlp32.exe,木馬釋放的文件充當了“李鬼”的角色。不僅如此,這個假冒的文件還會將自身設置為隱藏屬性,一般用戶很難察覺。程序運行后,會調用services.exe加載自身為服務項,然后通過修改和調用svchost.exe進程,訪問遠程服務器,伺機接受遠程指令,下載更多惡意程序到受感染計算機,給計算機安全造成重大隱患。
目前,卡巴斯基已可以成功查殺 “刀疤”木馬及其變種,我們建議您盡快更新病毒庫進行查殺以避免不必要的損失。
(新聞稿 2010-01-26)