天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 软件 > 安全>新闻>江民11.12毒报:IMG-WMF漏洞利用者

江民11.12病毒播报:IMG-WMF漏洞利用者变种

Yesky2009-11-12 01:12我要吐槽

  江民今日提醒您注意:在今天的病毒中Exploit.IMG-WMF.xl“IMG-WMF漏洞利用者”变种xl和Trojan/StartPage.czn“初始页”变种czn值得关注。

  英文名称:Exploit.IMG-WMF.xl
  中文名称:“IMG-WMF漏洞利用者”变种xl

  病毒长度:20160字节
  病毒类型:漏洞病毒
  危险级别:★★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:492bf52cf703cc86b34e459fa70d3ddc
  特征描述:
  Exploit.IMG-WMF.xl“IMG-WMF漏洞利用者”变种xl是“IMG-WMF漏洞利用者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“IMG-WMF漏洞利用者”变种xl运行后,会在被感染系统的临时文件夹下释放恶意程序“svchost.exe”,还会在“%SystemRoot%\system32\drivers\”文件夹下释放两次同名但不同功能的恶意驱动程序“beep.sys”(会覆盖系统的同名文件),同时修改这些文件的时间属性,以此迷惑用户。其第一次释放的恶意驱动程序会关闭安全软件的自我保护,然后尝试结束大量指定的安全软件进程。利用映像文件劫持干扰安全软件的正常启动,监视系统中存在的窗口标题,如果发现窗口中存在特定的字符串(如“杀毒”、“木马”、“防御”等)便会将该窗口关闭。还会删除相关的注册表项,致使用户无法进入“安全模式”。“IMG-WMF漏洞利用者”变种xl第二次释放的恶意驱动程序会穿透部分文件系统还原软件的保护,并用“IMG-WMF漏洞利用者”变种xl替换系统文件“userinit.exe”。“IMG-WMF漏洞利用者”变种xl会利用释放的恶意程序“svchost.exe”对同网段的计算机进行溢出攻击。如果被攻击的系统未安装“MS08-067”补丁,则会被该病毒所感染。“IMG-WMF漏洞利用者”变种xl会感染除“A:”和“C:”分区外的所有“tar”、“cab”、“tgz”、“zip”和“rar”文件,并将名为“绿化.bat”的自身副本插入到这些文件中。“IMG-WMF漏洞利用者”变种xl还会将“URLmon.DLL”复制到临时文件夹下并重命名为“urlm0n.dll”,以供自身调用。其会连接骇客指定的URL“http://mmc.vyd*.com/ssave.txt”,然后根据该文件中的下载地址列表下载大量的恶意程序,致使用户遭受更大程度的损失。

  英文名称:Trojan/StartPage.czn
  中文名称:“初始页”变种czn

  病毒长度:288256字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:3310625f728e4744e6f19e7a43efdd1d
  特征描述:
  Trojan/StartPage.czn“初始页”变种czn是“初始页”家族中的最新成员之一,采用“Borland C++”编写,经过加壳保护处理。“初始页”变种czn运行后,会向系统桌面、快速启动栏、IE收藏夹等位置添加IE快捷方式,这些快捷方式均指向骇客指定的页面“http://www.114*.com.cn/lindex.html”。同时,“初始页”变种czn还会修改“傲游”、“腾讯TT”、“Firefox”等浏览器的快捷方式,使得这些浏览器在启动时也会自动访问该页面,从而给骇客带来了非法的经济利益。最后,“初始页”变种czn会访问指定页面“http://121.52.*.85/ClientInfo.aspx”进行推广数量的统计。

 

作者:江民责任编辑:杨玲)
请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
热点推荐
微软Windows 10操作系统Win10系统在Win8的基础上对界面、特性以及跨平台方面做了诸多优化。[详细]
Windows 10 新视界 [进入频道][使用技巧][微博互动]
手机整机DIY企业级