科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全报告:IE极光0day漏洞流传 挂马网站增加

报告:IE极光0day漏洞流传 挂马网站增加

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本周因IE极光0day漏洞的利用代码被广泛流传(利用代码命名为:JS/CVE-2010-0249!exploit),使得挂马网站数量有所增加,导致部分木马类病毒数量有少量增长。总体上,未出现危害较严重的病毒事件。

来源:赛迪网 2010年1月28日

关键字: 挂马 ie 极光漏洞 极光

  • 评论
  • 分享微博
  • 分享邮件

  本周因IE极光0day漏洞的利用代码被广泛流传(利用代码命名为:JS/CVE-2010-0249!exploit),使得挂马网站数量有所增加,导致部分木马类病毒数量有少量增长。总体上,未出现危害较严重的病毒事件。

  从一周的统计数据来看,受此影响,上周的挂马网站相对较活跃,使用此漏洞的网站主要以色情类有害信息网站为主。用户受影响的系统为:IE6/7/8版本,操作系统包括:Windows 2000 SP4, Windows XP/2003/Vista/2008,Windows 7。其中IE6的影响相对较大(漏洞利用的shellcode的执行准确度相对较高),IE8因开启系统DEP而受到影响相对较小。

  22日微软已发布此漏洞的官方补丁,在此提醒广大用户及时检查/安装(在控制面板-添加删除程序中可看到):

  

报告:IE极光0day漏洞流传 挂马网站增加

  本周关注的病毒:

  病毒名称:Win32.Bredolab.SV

  病毒别称:TROJ_BREDLAB.SMF (Trend Micro), Backdoor.Win32.Bredolab.aue (Kaspersky), TrojanDownloader:Win32/Bredolab.X (Microsoft)

  病毒属性:特洛伊木马

  危害性:中

  病毒特性:

  Win32/Bredolab.SV是一种特洛伊病毒,能够下载并生成Win32/Zbot 和 Win32/Cutwail病毒。它将获取的系统信息发送到远程服务器,并从远程服务器接收URL和文件。恶意程序通过垃圾邮件传播,并诱惑用户运行恶意程序。

  感染方式:

  特洛伊运行时,检查被感染的系统,将代码分配到以下补丁:

  Windows 2000 Build 2195

  Windows XP Build 2600

  Windows Server 2003 Build 3790

  Windows Vista Build 6000

  Win32/Bredolab.SV 在以下目录生成一个病毒副本:

  %TEMP%\~TM54EA3A.TMP (hardcoded filename)

  随后,特洛伊将恶意代码注入到EXPLORER.EXE中并运行。

  当Win32/Bredolab.SV在EXPLORER.EXE中运行时,它会将生成的"%TEMP%\~TM54EA3A.TMP"文件移动到"%UserStartup%\ISQSYS32.EXE"。

  特洛伊将"%UserStartup%\ISQSYS32.EXE"文件的时间属性修改为和SMSS.EXE文件的时间属性一样。

  传播方式

  通过邮件传播

  Win32/Bredolab.SV 通过以下垃圾邮件进行传播:

  

报告:IE极光0day漏洞流传 挂马网站增加

  危害

  使安全软件失效

  Win32/Bredolab.SV 具有解除API钩子的功能,通常这仅应用于安全软件,例如反病毒程序,行为分析或者沙盘系统。

  以下是被Win32/Bredolab.SV解除API钩子的列表:

  kernel32.dll :

  CreateRemoteThread

  WriteProcessMemory

  …

  ZwOpenThread

  ZwQueueAPcThread

  ZwSetValueKey

  从远程服务器接收命令并发送信息到远程服务器

  Win32/Bredolab.SV 从内存中解译恶意程序,连接它的远程控制服务器和命令。

  Win32/Bredolab恶意程序使用以下链接报告给它的控制者:

  http:// mmsfoundsystem. ru/public/controller.php

  Win32/Bredolab.SV 上报它在被感染系统中的安装配置信息。

  它会接收下载恶意文件的URL,下载并运行恶意文件。

  其它信息

  特洛伊生成一个名为"_SYSTEM_4D2EF3A_"的互斥体。

  它会利用MS07-017和MS08-025系统漏洞,提升它在被感染机器上的权限。

  用户可以到以下微软网站下载相关的漏洞补丁:

  http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx

  http://www.microsoft.com/technet/security/bulletin/MS08-025.mspx

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章