冠群金辰7月第3周病毒報告:微軟的office 0day漏洞
【51CTO.com 綜合消息】本周所收集的病毒數量及種類均略有增加。微軟Directshow 0day漏洞補丁已于15日發布,請廣大用戶注意及時安裝(公告ID:MS09-032;KB973346)。
本周又新發現了微軟的office 0day漏洞,并且已出現利用代碼。此漏洞存在于微軟office網頁組件的OCW10和OCW11文件中,目前出現的利用代碼使用escape加密,可采用掛馬形式,當安裝了office的用戶使用ie內核瀏覽器訪問含有此惡意代碼網站時,ie會占用大量cpu資源同時下載并執行有害程序。安裝有office軟件的系統都會受影響(此組件會被缺省安裝)。在此提醒用戶及時升級反病毒軟件的病毒特征庫,盡量不訪問未知的網站地址。
本周關注的病毒家族:
病毒名稱: Win32.Cutwail.MI
病毒別稱:
ROJ_CUTWAIL.AL (Trend), Trojan.Pandex (Symantec), Trojan.TrojanDropper:Win32/Cutwail.AA (MS OneCare), Trojan-Downloader.Win32.Mutant.yj (Kaspersky)
病毒屬性:特洛伊木馬
危害性:中等危害
病毒特性:
Win32/Cutwail.MI是一種帶有rootkit功能的特洛伊病毒(此家族是近期較常見的系列病毒),能夠修改系統的winlogon.exe文件。它可能用來下載并運行任意文件,或者注入其它的系統進程。同時,此變體可發送大量的郵件和進行自我更新。
感染方式:
Cutwail運行時,生成一個驅動程序文件%Windows%\System32\main.sys,并修改系統注冊表以便作為一個驅動加載到系統內核。完成這個過程后,原始生成的文件就會被刪除。
系統下一次重啟時,main.sys 文件會生成%Windows%\System32\wsys.dll文件,還會修改系統文件%Windows%\System32\winlogon.exe,隨后main.sys 文件被刪除。
在運行正常的winlogon.exe代碼之前,修改winlogon.exe文件會引起它在用戶登陸或者winlogon.exe重啟時訪問到wsys.dll的一個功能。這個命令會生成%Temp%\imapi.exe文件并運行它。一些變體將這個文件生成到%Windows%\System32\drivers目錄,也可能使用svchost.exe文件名,或者兩個都用。
病毒文件imapi.exe 在%Temp%或Windows%\System32\drivers 目錄生成一個或者兩個文件。
第一個文件可能是以下文件名:
|
這些實例的前3個文件,在被刪除之前,文件加載到kernel memory中。后兩個文件作為一個服務被安裝,服務名稱為Ip6Fw 或 NetDetect respectively。
此變體還有一個下載器文件。早期的變體將這個文件寫入%Temp%目錄,文件名一般為wuauclt.exe。使用過的文件名包括services.exe 和 systems_.exe。很多變體不將這個代碼保存到磁盤,但是會注入到Internet Explorer程序中。
危害
下載并運行任意文件
Cutwail 發送很多信息到以下4個服務器中的一個,并嘗試下載一個文件:
66.246.252.213 67.18.114.98 74.52.122.130 208.66.194.221 |
如果失敗,它就會嘗試列表中的其它服務器。一些變體連接managed.unexpand.com上的服務器。
下載的文件包含一個或者更多的編碼運行程序。每個可運行程序可能保存到%Temp%/
發送大量的病毒郵件
病毒搜索帶有以下擴展名的文件:
.txt、.adb、.asp、.dbx、.eml、.fpt、.htm、.inb、.mbx、.php、.pmr、.sht、.tbb、.wab |
獲取的地址保存到C:\as.txt,并發送到遠程黑客指定的地址。
本周常見較活躍病毒列表及變體數量:
 |
| 表1 |
其他近期新病毒的資料可參考:
http://www.kill.com.cn/product/bingdujieshao/index.asp
安全防范建議:
1、對于個人PC,重要的系統補丁應及時安裝;對于企業用戶,應加強補丁管理意識,尤其對服務器等重要系統應盡早安裝;
2、不訪問有害信息網站,不隨意下載/安裝可疑插件,并檢查IE的安全級別是否被修改;
3、使用KILL時注意及時升級到最新的病毒庫版本,并保持時時監視程序處于開啟狀態;
4、不要隨意執行未知的程序文件;
5、合理的配置系統的資源管理器(比如顯示隱含文件、顯示文件擴展名),以便能夠更快地發現異常現象,防止被病毒程序利用;
