江民今日提醒您注意:在今天的病毒中Exploit.IMG-WMF.xl“IMG-WMF漏洞利用者”变种 xl和Trojan/StartPage.czn“初始页”变种czn值得关注。
英文名称:Exploit.IMG-WMF.xl
中文名 称:“IMG-WMF漏洞利用者”变种xl
病毒长度:20160字节
病毒类型:漏洞病毒
危险级 别:★★★
影响平台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:492bf52cf703cc86b34e459fa70d3ddc
特征描述:
Exploit.IMG- WMF.xl“IMG-WMF漏洞利用者”变种xl是“IMG-WMF漏洞利用者”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,经过加壳保护处理。“IMG-WMF漏洞利用者”变种xl运行后,会在被感染系统的临时文件夹下释放恶意程序“svchost.exe”, 还会在“%SystemRoot%\system32\drivers\”文件夹下释放两次同名但不同功能的恶意驱动程序“beep.sys”(会覆盖系 统的同名文件),同时修改这些文件的时间属性,以此迷惑用户。其第一次释放的恶意驱动程序会关闭安全软件的自我保护,然后尝试结束大量指定的安全软件进程。利用映像文件劫持干扰安全软件的正常启动,监视系统 中存在的窗口标题,如果发现窗口中存在特定的字符串(如“杀毒”、“木马”、“防御”等)便会将该窗口关闭。还会删除相关的注册表项,致使用户无法进入 “安全模式”。“IMG-WMF漏洞利用者”变种xl第二次释放的恶意驱动程序会穿透部分文件系统还原软件的保护,并用“IMG-WMF漏洞利用者”变种 xl替换系统文件“userinit.exe”。“IMG-WMF漏洞利用者”变种xl会利用释放的恶意程序“svchost.exe”对同网段的计算机 进行溢出攻击。如果被攻击的系统未安装“MS08-067”补丁,则会被该病毒所感染。“IMG-WMF漏洞利用者”变种xl会感染除“A:”和“C:” 分区外的所有“tar”、“cab”、“tgz”、“zip”和“rar”文件,并将名为“绿化.bat”的自身副本插入到这些文件中。 “IMG-WMF漏洞利用者”变种xl还会将“URLmon.DLL”复制到临时文件夹下并重命名为“urlm0n.dll”,以供自身调用。其会连接骇 客指定的URL“http://mmc.vyd*.com/ssave.txt”,然后根据该文件中的下载地址列表下载大量的恶意程序,致使用户遭受更大 程度的损失。
英文名称:Trojan/StartPage.czn
中文名称:“初 始页”变种czn
病毒长度:288256字节
病毒类型:木马
危险级别:★
影响平 台:Win 9X/ME/NT/2000/XP/2003
MD5 校验:3310625f728e4744e6f19e7a43efdd1d
特征描述:
Trojan/StartPage.czn“初始页”变种czn是“初始页”家族中的最新成员之一,采用“Borland C++”编写,经过加壳保护处理。“初始页”变种czn运行后,会向系统桌面、快速启动栏、IE收藏夹等位置添加IE快捷方式,这些快捷方式均指向骇客指 定的页面“http://www.114*.com.cn/lindex.html”。同时,“初始页”变种czn还会修改“傲游”、“腾讯TT”、“Firefox”等浏览器的快捷方式,使得这些浏览器在启动时也会自动访问该页面,从而给骇客带来了非法的经济 利益。最后,“初始页”变种czn会访问指定页面“http://121.52.*.85/ClientInfo.aspx”进行推广数量的统计。