冠群金辰3月第3周病毒周报:总体平静但见中危蠕虫

安全
总体上本周病毒状况比较平静,未发现严重危害的新型病毒,病毒感染数量以及捕获的病毒样本数量相对于前一周都有较大程度下降。

【51CTO.com 综合报道】总体上本周病毒状况比较平静,未发现严重危害的新型病毒,病毒感染数量以及捕获的病毒样本数量相对于前一周都有较大程度下降。当前病毒主要以如下方式进行传播,请广大用户注意预防:网站挂马、微软MS09-002、MS08-067系统漏洞、Sina UC漏洞、Realplayer漏洞、移动硬盘传播。

本周关注的新病毒:
蠕虫病毒Win32.Fruspam.Family
其它名称:W32.Ackantta@mm (Symantec), Trojan.Win32.Buzus (Kaspersky), Mal/CryptBox (Sophos), Win32/Fruspam!generic, Worm:Win32/Prolaco (MS OneCare), Hacktool.Spammer (Symantec), W32/Xirtem@MM (McAfee)
病毒属性:蠕虫病毒 
危害性:中等

病毒特性:
 Win32/Fruspam是一个利用内置的SMTP引擎群发垃圾邮件蠕虫家族。它的目标系统是运行IIS的服务器,也可以通过U盘和点对点网络传播。

感染方式:
运行后,Win32/Fruspam. 会使用以下任意文件名复制自己到%System%目录中:
javaload.exe、javare.exe、javarun.exe、jushed.exe

它还能生成以下恶意文件:
%System%\<8 random characters>.dll -检测出是Win32/Vundo.BZO病毒
%System%\.dll -检测出是Win32/Vundo variant病毒
%System%\javaee.exe -检测出是Win32/Fruspam.I病毒
%System%\javame.exe -检测出是Win32/Fruspam.I病毒
%System%\javame4.exe -检测出是Win32/Fruspam.J病毒
%System%\javase.exe -检测出是Win32/Fruspam.I病毒
%System%\javase4.exe -检测出是Win32/Fruspam.J病毒
%System%\jqs.exe -检测出是Win32/Fruspam.A病毒
%System%\mf.exe -检测出是 Win32/CInject.S病毒
%System%\mlJAqpqo.dll -检测出是Win32/Vundo.CGP病毒

修改以下注册表键值,以便在系统启动时运行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

创建的执行名称可能是:
F-Secure Email Security ;Sun Java Updater ;SunJavaUpdater

传播方式:
通过邮件传播
Win32/Fruspam 通过邮件传播。它从以下合法的网站下载图片,并使用这些图片生成垃圾邮件。

h**p://www.hallmark.com/wcsstore/HallmarkStore/images/
h**p://www.hallmark.com/wcsstore/HallmarkStore/images/globalNav
h**p://www.huxleyengineering.com/css/

h**p://www.thecoca-colacompany.com/
h**p://www.thecoca-colacompany.com/css/

Fruspam蠕虫发送的电子邮件有以下特征

标题例子:
IKEA's New Planning Software;Job offer from Coca Cola!;Thank you for your application;You've received A Hallmark E-Card!

发件人例子:
HomePlanner@IKEA.comhr@coca-cola.comhr@huxley.comhr@jobs.compostcards@hallmark.com

附件名例子:
copy of your CV.zip;copy of your application.zip;ikea.zip;job-application-form.zip;postcard.zip

病毒发送垃圾邮件的例子:

图1

它使用远程SMTP服务器发送垃圾邮件到这些邮件地址。病毒执行DNS MX (mail exchanger)查询,为每个域找到适合的邮件服务器来发送邮件。

通过点对点网络传播
Win32/Fruspam.J还会通过点对点软件进行传播。 它会复制到包含"DownloadDir"和"ProgramFiles"字符串的目录中,或者复制到以下P2P软件的共享目录中:
C:\Downloads\
C:\program files\emule\incoming\
C:\program files\grokster\my grokster\
C:\program files\icq\shared folder\
C:\program files\limewire\shared\
C:\program files\morpheus\my shared folder\
C:\program files\tesla\files\
C:\program files\winmx\shared\

复制文件名包括:
Absolute Video Converter 6.2.exe
Acker DVD Ripper 2009.exe
Ad-aware 2008.exe

Wow WoLTk keygen generator-sfx.exe
Youtube Music Downloader 1.0.exe
xbox360 flashing tools and guide including bricked drive fix.exe

通过文件替换传播
如果被感染系统上运行了一个带有IIS (Internet Information Services)的web服务器,Win32/Fruspam.J就会将合法的IIS文件%Root%\inetpub\wwwroot\index.htm修改或替换为带有病毒的.htm文件。
修改的HTML 页面,加载时会显示如下内容:

图2

如果用户点击了"MS09-067" 链接,就会运行蠕虫文件%Root%\inetpub\wwwroot\ms09-067.exe。

通过U盘传播
蠕虫在每一个可移动磁盘中创建一个如下名称的目录, 设置该系统属性只读,隐藏:
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542 并生成redmond.exe
在根目录创建 “Autorun.inf ”。

Fruspam蠕虫危害:
规避系统防火墙设置
Fruspam 变种修改注册表键值规避Windows防火墙设置,将病毒文件添加到授权软件中

下载并执行任意文件
Win32/Fruspam.也下载其他恶意程序,例如从以下站点下载Win32/Vundo变种:
aesezvbvzl.com//xckhdrr/
childhe.com//apstpldr.dll.html

修改Hots文件
Win32/Fruspam变种修改Hosts文件,以阻止访问某些安全网站。修改后的Hosts文件包含以下行:

127.0.0.1 aladdin.com
127.0.0.1 authentium.com
127.0.0.1 avast.com
127.0.0.1 avg.com
127.0.0.1 avp.com
127.0.0.1 bitdefender.com
127.0.0.1 ca.com

127.0.0.1 www.virus-buster.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.virustotal.com

本周的一些其他常见病毒:

VBS/Gamepass!generic家族
游戏盗号木马程序的脚本激活部分,主要注入到网站代码,当用户浏览时被执行。

特洛伊病毒Win32.SillyDl 家族
一种木马下载器,通过Internet Explorer浏览器或者其它的特洛伊下载器安装到用户系统。近期的Win32.SillyDl.GRX新变体(国内名称为“猫癣”或“犇牛”)具有反安全软件功能,有较大危害。(本周仍然发现有新的变体出现,主要特征是生成USP10.DLL文件)

特洛伊病毒Win32.Wowpa.Fj|FR
本周出现变体较多的一个家族;这是一种记录按键的木马程序,它一般是被其它恶意软件安装。它尝试盗窃与Massively Multiplayer Online Role Playing Game (MMORPG) "World of Warcraft"游戏相关的用户名和密码。

JS/SillyDLScript.FO/GL
IE漏洞脚本病毒,部分变体为ie7ms09-002漏洞相关脚本;利用IE执行后执行shellcode代码,通常下载其他有害程序。

JS/RealExpolit.C
针对realplay漏洞的脚本病毒。

特洛伊病毒Win32.SillyDl 家族
一种木马下载器,通过Internet Explorer浏览器或者其它的特洛伊下载器安装到用户系统。此家族近期变体较多,很多变体即国内的“犇牛”。

Win32/Dogbab!generic
新出现的盗号类木马程序;暂无详细资料;

JS/CVE-2009-0075!exploit
利用ms09-002漏洞的脚本挂马程序;
 
Win32/Gamepass.VE|VF|WD|ZT等
网游盗号类木马家族,是去年以来一直较为活跃的木马,且一直在出现新的变体。

Win32/QQPass.ZO/BJ/
帐号盗窃木马程序,有键盘输入记录功能,病毒作为一个Browser Helper Object安装。

其他近期新病毒的资料可参考:
http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建议:
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用。

责任编辑:潘宇杰 来源: 51CTO.com
相关推荐

2009-06-23 09:49:47

2009-09-15 16:56:36

2009-05-07 15:50:44

2009-06-01 16:55:43

2009-09-08 21:26:17

2009-07-27 19:29:58

2009-04-15 11:00:05

2009-05-12 09:03:17

2009-06-30 11:27:32

病毒木马冠群金辰

2009-05-19 09:00:04

家族变体病毒冠群金辰

2009-03-03 09:37:05

2009-06-16 08:48:43

2009-04-28 11:11:15

木马病毒冠群金辰

2009-07-14 13:55:06

2009-04-25 08:33:52

2009-03-05 11:22:06

特洛伊病毒KILL

2009-03-23 14:34:18

2009-03-26 12:34:03

木马病毒周报

2009-02-24 10:20:29

2009-02-11 11:25:21

点赞
收藏

51CTO技术栈公众号