江民1.23病毒播报:极光和诡贼变种病毒

1/23/2010来源:病毒数据库人气:3880

  江民今日提醒您注意:在今天的病毒中Exploit.CVE-2010-0249“极光”变种和TrojanDropper.Grizl.a“诡贼”变种a值得关注。

  英文名称:Exploit.CVE-2010-0249
  中文名称:“极光”变种
  病毒长度:6546字节
  病毒类型:漏洞病毒
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:cb0c5a24301c673b343926d340c44f5c
  特征描述:
  Exploit.CVE-2010-0249“极光”变种是“极光”漏洞病毒家族中的最新成员之一,采用“javaScript”脚本语言编写,代码经过加密保护处理。“极光”变种是一个利用“CVE-2010-0249”(Internet Explorer 0day漏洞,微软定义其安全级别为“严重”)远程代码执行漏洞来传播其它恶意程序的网页脚本病毒,一般内嵌在正常或者特别构建的网页中。如果用户的计算机系统没有及时安装微软安全公告MS10-002相应的补丁,当用户使用受影响版本的IE浏览器访问带有“极光”变种的网页时,便会在后台连接骇客指定的远程服务器站点,下载恶意程序并自动调用运行。其中,所下载的恶意程序可能是网游木马、流氓广告或后门等,会给被感染系统用户造成不同程度的威胁。受该漏洞影响的IE版本如下:Internet Explorer 5.01 Service Pack 4、Microsoft Internet Explorer 6.0、Microsoft Internet Explorer 6.0 SP1、Microsoft Internet Explorer 7.0、Microsoft Internet Explorer 8。

  英文名称:TrojanDropper.Grizl.a
  中文名称:“诡贼”变种a
  病毒长度:116896字节
  病毒类型:木马释放器
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:3145f319422413c0f5977593cedcf9de
  特征描述:
  TrojanDropper.Grizl.a“诡贼”变种a是“诡贼”家族中的最新成员之一,经过加壳保护处理。“诡贼”变种a运行后,会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“ss12D30002dll.dll”,文件属性设置为“系统、隐藏”。同时自我复制到“%SystemRoot%\Fonts\”文件夹下,重新命名为“MSar12D30002exe.ttf”,文件设置为“隐藏”。之后,其会通过批处理删除原病毒文件和系统文件“verclsid.exe”。“诡贼”变种a释放的恶意DLL文件是一个专门盗取“剑侠情缘3 Online”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经插入到桌面进程“explorer.exe”中。监视当前的系统状态,伺机进行恶意操作。插入游戏进程“jx3client.exe”中,利用截图、内存截取等手段盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息,并在后台将窃得的信息发送到骇客指定的收信页面上,致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。另外,“诡贼”变种a会通过修改注册表的方式实现开机自启。