扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
本周因IE极光0day漏洞的利用代码被广泛流传(利用代码命名为:JS/CVE-2010-0249!exploit),使得挂马网站数量有所增加,导致部分木马类病毒数量有少量增长。总体上,未出现危害较严重的病毒事件。
从一周的统计数据来看,受此影响,上周的挂马网站相对较活跃,使用此漏洞的网站主要以色情类有害信息网站为主。用户受影响的系统为:IE6/7/8版本,操作系统包括:Windows 2000 SP4, Windows XP/2003/Vista/2008,Windows 7。其中IE6的影响相对较大(漏洞利用的shellcode的执行准确度相对较高),IE8因开启系统DEP而受到影响相对较小。
22日微软已发布此漏洞的官方补丁,在此提醒广大用户及时检查/安装(在控制面板-添加删除程序中可看到):
本周关注的病毒:
病毒名称:Win32.Bredolab.SV
病毒别称:TROJ_BREDLAB.SMF (Trend Micro), Backdoor.Win32.Bredolab.aue (Kaspersky), TrojanDownloader:Win32/Bredolab.X (Microsoft)
病毒属性:特洛伊木马
危害性:中
病毒特性:
Win32/Bredolab.SV是一种特洛伊病毒,能够下载并生成Win32/Zbot 和 Win32/Cutwail病毒。它将获取的系统信息发送到远程服务器,并从远程服务器接收URL和文件。恶意程序通过垃圾邮件传播,并诱惑用户运行恶意程序。
感染方式:
特洛伊运行时,检查被感染的系统,将代码分配到以下补丁:
Windows 2000 Build 2195
Windows XP Build 2600
Windows Server 2003 Build 3790
Windows Vista Build 6000
Win32/Bredolab.SV 在以下目录生成一个病毒副本:
%TEMP%\~TM54EA3A.TMP (hardcoded filename)
随后,特洛伊将恶意代码注入到EXPLORER.EXE中并运行。
当Win32/Bredolab.SV在EXPLORER.EXE中运行时,它会将生成的"%TEMP%\~TM54EA3A.TMP"文件移动到"%UserStartup%\ISQSYS32.EXE"。
特洛伊将"%UserStartup%\ISQSYS32.EXE"文件的时间属性修改为和SMSS.EXE文件的时间属性一样。
传播方式
通过邮件传播
Win32/Bredolab.SV 通过以下垃圾邮件进行传播:
危害
使安全软件失效
Win32/Bredolab.SV 具有解除API钩子的功能,通常这仅应用于安全软件,例如反病毒程序,行为分析或者沙盘系统。
以下是被Win32/Bredolab.SV解除API钩子的列表:
kernel32.dll :
CreateRemoteThread
WriteProcessMemory
…
ZwOpenThread
ZwQueueAPcThread
ZwSetValueKey
从远程服务器接收命令并发送信息到远程服务器
Win32/Bredolab.SV 从内存中解译恶意程序,连接它的远程控制服务器和命令。
Win32/Bredolab恶意程序使用以下链接报告给它的控制者:
http:// mmsfoundsystem. ru/public/controller.php
Win32/Bredolab.SV 上报它在被感染系统中的安装配置信息。
它会接收下载恶意文件的URL,下载并运行恶意文件。
其它信息
特洛伊生成一个名为"_SYSTEM_4D2EF3A_"的互斥体。
它会利用MS07-017和MS08-025系统漏洞,提升它在被感染机器上的权限。
用户可以到以下微软网站下载相关的漏洞补丁:
http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx
http://www.microsoft.com/technet/security/bulletin/MS08-025.mspx
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者