从2007年4月20号开始,一个名为hxxp://4255.biz的恶意网址,在国内互联网中快速传开。该恶意网址中用到了MS06-014和MS07-017漏洞网页木马来下载病毒,同时当病毒运行后,会下载其他的盗号木马,还包括WinPcap工具。根据受感染的用户反映,在浏览网页的时候会自动加入这个恶意网址。与我们今年2.12发布的关于警惕a.d3a.us报道中的病毒非常相似。建议广大网管对这个网址进行屏蔽!0 C- O E: [) ~1 i
6 X* }. P5 v8 z7 a; `打开该网页后,就可以看到三个恶意网址:
! l N) q( _5 @, z7 B. H1 s8 _! r) w7 D( l9 s
9 j! D A: a: ^0 B
0 P5 O% ~3 {0 ^. Y001.htm用到的是MS07-017漏洞的网马;% h7 L( F4 x4 J
002.htm用到的是MS06-014漏洞的网马;7 d% g4 S0 o3 j/ N3 P
003.htm会下载ccc.html(其实是个chm文档)。
* Y, w/ O4 e4 `! v& j/ H+ P
) [& p: }6 {5 [这三者的目的,都是为了运行病毒本身。病毒大小15,620 字节,UPack加壳,MD5值为b1e2f5ec9e3b42e8142b3335625f2579,Kaspersky检测为Virus.Win32.Delf.bl5 g! B/ t) s7 i* u. m3 o9 x
' P( }4 P' I( |0 A1 F9 o) b+ I; M& ~运行后会生成8 i* {0 A( ?1 |1 p
%windows%\system\logo_1.exe% j% p j! Q5 c2 H" L- J
%windows%\system\MCIWACE.INC1 P E' O. i7 L6 X# M T
%windows%\system\MCIWACE.DRV& K9 T# S( j; X
3 _3 e0 E, w: R5 R3 H* f: \& o. R
$ p- N0 j& B( q+ w' [, V会下载一个非exe文档:
. h9 y1 ]8 u. N' O# Jhxxp://35623.com/upwina.exe |