首页>信息安全>

阅读新闻

金山:小心病毒借微软访问组件漏洞侵蚀系统

来源:说IT资讯网 作者:说IT资讯网 日期:2008-05-28 11:09

一、“MS06-014漏洞下载器1792”(JS.Downloader.qw.1792)  威胁级别:★★

 

毒霸反病毒工程师发现,近来漏洞利用脚本病毒数量增加较快,而其中关于MDAC的漏

 
洞脚本占了大多数。所谓的MDAC(Microsoft Data Access Components)是微软访问组件,它广泛存在于安装有WINDOWS的用户的电脑中。操作系统数据库

 

脚本病毒的体积小,可利用感染数据库文件和网页挂马等方式传播,传染速度较快。如果用户利用未打上MS06-014安全补丁的电脑浏览网页或运行含毒文件,漏洞脚本病毒就可以在系统中运行起来。

 

它运行后会在后台连接病毒作者指定的远程地址http://www.d**io.com/,下载一个名为Microsoft.com的木马程序到本地临时文件夹%tmp%中执行。由于采用Microsoft.com这个名字,很多用户会忽略它。但如果安装了毒霸,则可免去担心。

 

关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/js-downloader-qw-1792-50631.html

 

二、“黑客后门程序20480”(Win32.Hack.Pangu.a.20480)  威胁级别:★★

 

这个后门程序会将自己的相关数据添加到系统注册表中,创建服务gu7788gu来加载文件,使自己能够随系统启动。

 

为了欺骗用户,服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止,alerter 消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动”

 

同时,病毒修改系统注册表,将自身添加到windows防火墙的例外列表中,这样它就可以绕开系统安全模块的封锁,与外部网络自由通讯。

 

完成以上步骤后,病毒就删除自己的原始文件,防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4:8001,等待病毒作者(黑客)的控制指令。

 

毒霸可以清理此毒,习惯手动杀毒的用户则可以在%WINDOWS%system32目录下找到病毒文件notepde.exe。

 

关于该病毒的详细分析报告,可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-pangu-20480-50632.html

 

 

数据统计中!!
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片

推荐内容

热点内容