江民“网页收割者”病毒技术分析报告
2007-09-22 10:38
316 查看
CNET中国·PChome.net 时间:2007-09-21
9月20日,江民科技反病毒中心截获到一个假冒微软网站进行传播的病毒“网页收割者”(Virus.Autorun.dr),该病毒会感染网页文件,向其中插入恶意网址连接,并利用多个系统漏洞下载20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
据江民反病毒专家介绍,“网页收割者”病毒采用Delphi 工具编写,病毒运行后,会创建病毒进程crsss.exe,该进程指向的路径为:%WinDir%System32crsss.exe,文件大小为 62512字节。病毒会在注册表中添加以下自启动项,以使自己随Windows操作系统同时运行。
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"crsss" = %WinDir%system32crsss.exe
该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址http://mlcro-soft.cn/****.htm,该恶意网址伪装成微软网站,极具欺骗性。病毒还会在系统目录system32下生成下载网游木马列表文件c.txt ,病毒会将这些网游木马下载并且执行。用户一旦点击中毒网页,该恶意网页即可利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
江民反病毒专家介绍,“网页收割者”病毒还会通过U盘/MP3/移动硬盘等移动存储设备进行传播,在其中生成autorun.inf和niu.exe两个病毒文件,这样当用户在双击打开U盘的时候就会将病毒激活,从而感染到系统中。该病毒还会强行修改IE首页,将首页设置为http://mlcro-soft.cn/update.htm 带毒网站,这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值,使系统无法显示隐藏文件。
针对此病毒,江民科技反病毒中心已经紧急升级了病毒库,只要升级到9月20日的病毒库,即可拦截此病毒的入侵。
江民反病毒专家建议广大用户,采取以下四点措施有效防范病毒入侵:
1. 将KV系列杀毒软件的病毒库升级到9月20日,并开启杀毒软件所有的实时监功能,建议选择具有U盘病毒免疫功能的杀毒软件如:江民KV2008 杀毒软件。
2. 及时打好系统补丁,建议用户通过Windows系统的Windows Update 功能更新操作系统补丁,尤其是一定要打上MS06-014漏洞,MS07-017漏洞,MS07-004漏洞等网页木马多用漏洞。
MS06-014 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
MS07-004 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-004.mspx
3. 禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接。
9月20日,江民科技反病毒中心截获到一个假冒微软网站进行传播的病毒“网页收割者”(Virus.Autorun.dr),该病毒会感染网页文件,向其中插入恶意网址连接,并利用多个系统漏洞下载20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
据江民反病毒专家介绍,“网页收割者”病毒采用Delphi 工具编写,病毒运行后,会创建病毒进程crsss.exe,该进程指向的路径为:%WinDir%System32crsss.exe,文件大小为 62512字节。病毒会在注册表中添加以下自启动项,以使自己随Windows操作系统同时运行。
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"crsss" = %WinDir%system32crsss.exe
该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址http://mlcro-soft.cn/****.htm,该恶意网址伪装成微软网站,极具欺骗性。病毒还会在系统目录system32下生成下载网游木马列表文件c.txt ,病毒会将这些网游木马下载并且执行。用户一旦点击中毒网页,该恶意网页即可利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
江民反病毒专家介绍,“网页收割者”病毒还会通过U盘/MP3/移动硬盘等移动存储设备进行传播,在其中生成autorun.inf和niu.exe两个病毒文件,这样当用户在双击打开U盘的时候就会将病毒激活,从而感染到系统中。该病毒还会强行修改IE首页,将首页设置为http://mlcro-soft.cn/update.htm 带毒网站,这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值,使系统无法显示隐藏文件。
针对此病毒,江民科技反病毒中心已经紧急升级了病毒库,只要升级到9月20日的病毒库,即可拦截此病毒的入侵。
江民反病毒专家建议广大用户,采取以下四点措施有效防范病毒入侵:
1. 将KV系列杀毒软件的病毒库升级到9月20日,并开启杀毒软件所有的实时监功能,建议选择具有U盘病毒免疫功能的杀毒软件如:江民KV2008 杀毒软件。
2. 及时打好系统补丁,建议用户通过Windows系统的Windows Update 功能更新操作系统补丁,尤其是一定要打上MS06-014漏洞,MS07-017漏洞,MS07-004漏洞等网页木马多用漏洞。
MS06-014 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS07-017 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
MS07-004 补丁下载网址:
http://www.microsoft.com/china/technet/security/bulletin/MS07-004.mspx
3. 禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4. 不要随意接收从QQ、MSN等即时聊天工具发送过来的可执行文件,不要登陆来历不明的网址连接。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- “中国”制造:悍马(Hummer)病毒家族技术分析报告
- “九头虫”病毒技术分析报告
- “九头虫”病毒技术分析报告
- “九头虫”病毒技术分析报告
- “磁碟机”病毒技术分析报告
- QQ大盗病毒传播技术分析报告及防范(图)
- “九头虫”病毒技术分析报告
- 瑞星发布“MSN骗子”病毒技术分析报告
- 天龙八部技术分析报告
- 【Android病毒分析报告】 - AppBotSMS
- 网站技术分析报告之——开心网
- 黑客攻击行为特征分析 反攻击技术综合性分析报告
- “百脑虫”手机病毒分析报告
- “磁碟机”病毒详尽分析报告
- 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生
- 2012年全球www网站技术报告.结果分析
- 病毒分析报告-样本MD5 : 1576C10BD588D5EC4F22D43ED83FD2D0
- 【病毒分析】Virut.ce-感染型病毒分析报告
- 大数据分析技术研究报告(二)
- 【Android病毒分析报告】 - Usbcleaver