科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道光标漏洞病毒现网络 更甚熊猫烧香

光标漏洞病毒现网络 更甚熊猫烧香

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2007年3月31日,江民公司反病毒中心监测到,一只新的蠕虫病毒“光标漏洞”(I-Worm/MyInfect)正利用微软Windows系统ANI文件处理漏洞疯狂传播,反病毒中心已监测到多个网站正在传播该病毒。

作者:ZDNet China【原创】 2007年4月2日

关键字: 江民 病毒预报 防病毒

  • 评论
  • 分享微博
  • 分享邮件

2007年3月31日,江民公司反病毒中心监测到,一只新的蠕虫病毒“光标漏洞”(I-Worm/MyInfect)正利用微软Windows系统ANI文件处理漏洞疯狂传播,反病毒中心已监测到多个网站正在传播该病毒。

江民反病毒专家介绍,“光标漏洞”蠕虫自我传播能力很强。与“熊猫烧香”和威金蠕虫类似,该蠕虫会感染正常的可执行文件和本地网页文件,下载大量木马程序。除此之外,该蠕虫还能够利用自带的SMTP引擎通过电子邮件传播。最令人担心的是,目前病毒利用的微软ANI文件处理漏洞尚无官方补丁,江民反病毒专家担心一场比“熊猫烧香”更可怕的疫情可能会随时发生。

3月30日,江民反病毒中心发布紧急安全警报,一些恶意网站正在通过Windows操作系统一个新的安全漏洞(ANI漏洞)传播木马病毒。Windows在处理动态图标文件时存在严重隐患,利用此漏洞,黑客可以通过制作特殊的ANI文件进行远程攻击。可能的攻击方式包括编写恶意网页或发送恶意电子邮件,用户一旦浏览即可执行黑客指定的任意代码。微软公司于当地时间3月29日确认了这个新漏洞并开始调查工作。目前没有针对该漏洞的补丁程序。在报告发布后的第二天,利用该漏洞的蠕虫病毒“传染者”(I-Worm/MyInfect)即出现在互联网上。

江民反病毒专家分析,“光标漏洞”蠕虫的大小为13K左右,病毒运行后,会复制自身到下面目录:%SysDir%\sysload3.exe
并添加注册表键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SysDir%\sysload3.exe"
这样,病毒就可以随Windows系统启动自动运行。

病毒会感染本地磁盘和网络共享目录的正常可执行程序。并感染本地磁盘和网络共享目录的多种类型(.HTML .ASPX .HTM .PHP .JSP .ASP)网页文件,植入利用ANI文件处理漏洞的恶意代码。

“光标漏洞”病毒除了具备“熊猫烧香”所有的传播特征外,还可以通过电子邮件传播,病毒邮件特征如下:

   发件人: i_love_cq@sohu.com
   主题:你和谁视频的时候被拍下的?给你笑死了!
   正文:
   看你那小样!我看你是出名了!
   你看这个地址!你的脸拍的那么清楚!你变明星了!
  
http://macr.microfsot.com/<removed>/134952.htm

病毒还会复制自身到各逻辑磁盘盘根目录下,并创建autorun.inf自动播放配置文件。双击盘符即可激活病毒,造成再次感染。这点与“熊猫烧香”通过U盘激活自身从而“死灰复燃”的特征如出一辙。

“光标漏洞”还会修改系统hosts文件,屏蔽多个网址。这些网址大多是以前用来传播其他病毒的站点。

江民反病毒专家介绍,目前“光标漏洞”蠕虫已经产生了4个变种,针对该病毒及其变种,江民杀毒软件已经紧急升级了病毒库。江民KV系列用户请立即升级到4月2日病毒库,即可有效查杀所有变种。此外,专家再次提醒,用户上网时务必开启“系统监测”和“网页监控”功能,以免遭病毒侵害。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章