概要
首例利用MS04-28 JPEG檔案漏洞的傳播的病毒。病毒代碼內嵌於一個JPEG圖片檔案中。系統存在MS04-028漏洞的用戶如果預覽或打開該圖片,病毒代碼就會自動執行,下載病毒程式,開設後門。
KV系列防毒軟體9月17日以後的病毒庫都可對該惡意圖片進行查殺。如果您的系統已經打過微軟的MS04-028安全補丁或安裝過江民公司的“JPEG漏洞疫苗”,不會受此病毒的危害。
具體技術特徵分析如下:
1.一旦用戶感染該病毒,就會從被感染反向連線到某ftp站點,並從該ftp伺服器上下載如下檔案:
AdmDll.dll
Fport.exe
VNCHooks.dll
WinRun.dll
WinRun.exe
driver.log
drives.exe
execute.bat
filter3.ocx
irc-u.cfg
irc-u.dat
irc-u.debug.log
irc-u.dll
kill.exe
nc.exe
nvsvc.exe
nvsvc32.dll
omnithread_rt.dll
peek.exe
raddrv.dll
radmin.reg
rcrypt.exe
reg.exe
uptime.exe
vns.exe
2.執行上述檔案中的execute.bat檔案,完成添加r_server後門服務。
3.並按照如下配置安裝一個IRC的客戶端:
server1=irc.p2pchat.net
port1=7777
login=Darkbro0d
channel=#FurQ
password=letmein
nick1=Track100Mbit
nick2=Trck100#1
sfv=1
user=Trackmaster
login=darkbro0d
4.在被感染機器上生成c:\windows\system32\system\目錄其中包含nvsvc.exe和 winrun.exe兩個檔案
江民公司提醒您,及時安裝微軟的安全補丁程式或江民Jpeg檔案漏洞防毒“疫苗”,並立即安裝升級KV2005病毒庫,開啟KV的實時監控功能,確保您的系統不被已知和未知的惡意JPEG圖片侵害。
微軟補丁下載: http://www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx