冠群金辰7月第3周病毒报告:微软的office 0day漏洞
创始人
2024-04-21 10:21:05
0

【51CTO.com 综合消息】本周所收集的病毒数量及种类均略有增加。微软Directshow 0day漏洞补丁已于15日发布,请广大用户注意及时安装(公告ID:MS09-032;KB973346)。

本周又新发现了微软的office 0day漏洞,并且已出现利用代码。此漏洞存在于微软office网页组件的OCW10和OCW11文件中,目前出现的利用代码使用escape加密,可采用挂马形式,当安装了office的用户使用ie内核浏览器访问含有此恶意代码网站时,ie会占用大量cpu资源同时下载并执行有害程序。安装有office软件的系统都会受影响(此组件会被缺省安装)。在此提醒用户及时升级反病毒软件的病毒特征库,尽量不访问未知的网站地址。

本周关注的病毒家族:

病毒名称: Win32.Cutwail.MI

病毒别称:

ROJ_CUTWAIL.AL (Trend), Trojan.Pandex (Symantec), Trojan.TrojanDropper:Win32/Cutwail.AA (MS OneCare), Trojan-Downloader.Win32.Mutant.yj (Kaspersky)

病毒属性:特洛伊木马 

危害性:中等危害 

病毒特性:

Win32/Cutwail.MI是一种带有rootkit功能的特洛伊病毒(此家族是近期较常见的系列病毒),能够修改系统的winlogon.exe文件。它可能用来下载并运行任意文件,或者注入其它的系统进程。同时,此变体可发送大量的邮件和进行自我更新。

感染方式:

Cutwail运行时,生成一个驱动程序文件%Windows%\System32\main.sys,并修改系统注册表以便作为一个驱动加载到系统内核。完成这个过程后,原始生成的文件就会被删除。

系统下一次重启时,main.sys 文件会生成%Windows%\System32\wsys.dll文件,还会修改系统文件%Windows%\System32\winlogon.exe,随后main.sys 文件被删除。

在运行正常的winlogon.exe代码之前,修改winlogon.exe文件会引起它在用户登陆或者winlogon.exe重启时访问到wsys.dll的一个功能。这个命令会生成%Temp%\imapi.exe文件并运行它。一些变体将这个文件生成到%Windows%\System32\drivers目录,也可能使用svchost.exe文件名,或者两个都用。

病毒文件imapi.exe 在%Temp%或Windows%\System32\drivers 目录生成一个或者两个文件。

第一个文件可能是以下文件名:

.sys、cel90xbe.sys、restore.sys、ip6fw.sys、netdtect.sys

这些实例的前3个文件,在被删除之前,文件加载到kernel memory中。后两个文件作为一个服务被安装,服务名称为Ip6Fw 或 NetDetect respectively。

此变体还有一个下载器文件。早期的变体将这个文件写入%Temp%目录,文件名一般为wuauclt.exe。使用过的文件名包括services.exe 和 systems_.exe。很多变体不将这个代码保存到磁盘,但是会注入到Internet Explorer程序中。

危害

下载并运行任意文件

Cutwail 发送很多信息到以下4个服务器中的一个,并尝试下载一个文件:

66.246.252.213
67.18.114.98 
74.52.122.130
208.66.194.221

如果失败,它就会尝试列表中的其它服务器。一些变体连接managed.unexpand.com上的服务器。

下载的文件包含一个或者更多的编码运行程序。每个可运行程序可能保存到%Temp%/.exe,并运行,或者注入Internet Explorer程序中,并不写入磁盘。

发送大量的病毒邮件

病毒搜索带有以下扩展名的文件:

.txt、.adb、.asp、.dbx、.eml、.fpt、.htm、.inb、.mbx、.php、.pmr、.sht、.tbb、.wab

获取的地址保存到C:\as.txt,并发送到远程黑客指定的地址。

本周常见较活跃病毒列表及变体数量:

 
表1

其他近期新病毒的资料可参考:

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建议:

1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;

2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;

3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;

4、不要随意执行未知的程序文件;

5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...