报告:IE极光0day漏洞流传 挂马网站增加

　　本周因IE极光0day漏洞的利用代码被广泛流传(利用代码命名为：JS/CVE-2010-0249!exploit)，使得挂马网站数量有所增加，导致部分木马类病毒数量有少量增长。总体上，未出现危害较严重的病毒事件。

　　从一周的统计数据来看，受此影响，上周的挂马网站相对较活跃，使用此漏洞的网站主要以色情类有害信息网站为主。用户受影响的系统为：IE6/7/8版本，操作系统包括：Windows 2000 SP4, Windows XP/2003/Vista/2008，Windows 7。其中IE6的影响相对较大(漏洞利用的shellcode的执行准确度相对较高)，IE8因开启系统DEP而受到影响相对较小。

　　22日微软已发布此漏洞的官方补丁，在此提醒广大用户及时检查/安装(在控制面板-添加删除程序中可看到)：

　　本周关注的病毒：

　　病毒名称：Win32.Bredolab.SV

　　病毒别称：TROJ_BREDLAB.SMF (Trend Micro), Backdoor.Win32.Bredolab.aue (Kaspersky), TrojanDownloader:Win32/Bredolab.X (Microsoft)

　　病毒属性：特洛伊木马

　　危害性：中

　　病毒特性：

　　Win32/Bredolab.SV是一种特洛伊病毒，能够下载并生成Win32/Zbot 和 Win32/Cutwail病毒。它将获取的系统信息发送到远程服务器，并从远程服务器接收URL和文件。恶意程序通过垃圾邮件传播，并诱惑用户运行恶意程序。

　　感染方式：

　　特洛伊运行时，检查被感染的系统，将代码分配到以下补丁：

　　Windows 2000 Build 2195

　　Windows XP Build 2600

　　Windows Server 2003 Build 3790

　　Windows Vista Build 6000

　　Win32/Bredolab.SV 在以下目录生成一个病毒副本：

　　%TEMP%\~TM54EA3A.TMP (hardcoded filename)

　　随后，特洛伊将恶意代码注入到EXPLORER.EXE中并运行。

　　当Win32/Bredolab.SV在EXPLORER.EXE中运行时，它会将生成的"%TEMP%\~TM54EA3A.TMP"文件移动到"%UserStartup%\ISQSYS32.EXE"。

　　特洛伊将"%UserStartup%\ISQSYS32.EXE"文件的时间属性修改为和SMSS.EXE文件的时间属性一样。

　　传播方式

　　通过邮件传播

　　Win32/Bredolab.SV 通过以下垃圾邮件进行传播：

　　危害

　　使安全软件失效

　　Win32/Bredolab.SV 具有解除API钩子的功能，通常这仅应用于安全软件，例如反病毒程序，行为分析或者沙盘系统。

　　以下是被Win32/Bredolab.SV解除API钩子的列表：

　　kernel32.dll ：

　　CreateRemoteThread

　　WriteProcessMemory

　　…

　　ZwOpenThread

　　ZwQueueAPcThread

　　ZwSetValueKey

　　从远程服务器接收命令并发送信息到远程服务器

　　Win32/Bredolab.SV 从内存中解译恶意程序，连接它的远程控制服务器和命令。

　　Win32/Bredolab恶意程序使用以下链接报告给它的控制者：

　　http:// mmsfoundsystem. ru/public/controller.php

　　Win32/Bredolab.SV 上报它在被感染系统中的安装配置信息。

　　它会接收下载恶意文件的URL，下载并运行恶意文件。

　　其它信息

　　特洛伊生成一个名为"_SYSTEM_4D2EF3A_"的互斥体。

　　它会利用MS07-017和MS08-025系统漏洞，提升它在被感染机器上的权限。

　　用户可以到以下微软网站下载相关的漏洞补丁：

　　http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

　　http://www.microsoft.com/technet/security/bulletin/MS08-025.mspx