|
|
| |
|
|
江民公布“爱情大海”病毒技术分析报告
|
|
www.jiangmin.com.cn
2004-1-18 8:55:23 作者: 信息出自:江民科技
|
|
| |
|
近日,江民快速反病毒小组监测发现,越来越多的恶意网站正在利用IE浏览器捆绑木马进行传播。其中有一名为“爱情大海”的木马病毒,正在被众多恶意网站利用,该病毒现已被江民率先截获,现将其技术分析报告公布如下。
当用户浏览含有“爱情大海”木马病毒的网站时,(网址是http://www.h***z**.com)(这里隐含了部分网站的字母)。隐藏在该网页下的特洛伊木马程序Trojan/LoveSea.01.c利用IE漏洞将木马程序(Trojan/LoveSea.01.c)下载到用户机器上,并自动运行。木马程序启动后,会通过QQ聊天软件自动传播含有该网站网址的信息,并修改注册表,把IE浏览器的默认主页设置成该网站(网址是http://www.h***z**.com,同上)。木马程序还实时监控注册表项,手工修改主页后会立刻被木马程序改写回来。
病毒会利用IE浏览器的ActiveXComponent漏洞种植木马:
把com.ms.activeX.ActiveXComponent对象嵌入<APPLET>标记可能导致任意创建和解释执行ActiveX对象,从而可以创建任意文件、运行程序、写注册表。
该漏洞影响的IE版本有IE4.0/IE5.0/IE5.01/IE5.5/IE6,以及所有利用IE的软件,如MSWord,Outlook,Outlook Express,Foxmail等。
该网站就是利用了这个漏洞:恶意代码首先修改.sys文件关联方式,使之可以像.exe/.com文件那样自己运行,然后下载运行一个名为b.sys的文件,下载运行窗口的长宽都被设置为0,意在不引起注意。b.sys实际上就是一个木马程序Trojan/LoveSea.01.c。这样用户在访问该网站后,就已经被种植了木马。
Trojan/LoveSea.01.c木马程序技术特征:
1、 释放%SystemDir%\qqmess.dll,%WinDir%\sendmess.exe和%WinDir%\qq32.ini三个文件,大小分别是36864字节、18316字节和60000字节。
2、 通过在注册表主键HKLM\Software\Microsoft\Windows\CurrentVersion\Run中添加新项 [“QQ”, “%WinDir%\sendmess.exe”]把sendmess.exe设置成自启动项。
3、 sendmess.exe启动后每隔300毫秒重复做下面2件事情:
(1)修改注册表HKLM\Software\Microsoft\Internet Explorer\Main\Start Page,设置成 “http://www.h***z**.com,同上”;
(2)调用qqmess.dll,把其设置成Windows钩子。
4、 qqmess.dll会给RichEdit窗口发送文本消息(QQ的文本发送窗口就是RichEdit窗口),可能发送的消息有:
5、 通过QQ发送的消息,和sendmess.exe设置的主页网址都来自qq32.ini文件,通过修改该配置文件,可以让Trojan/LoveSea.01.c发送任意消息,把主页设置成任意网址。这一点必须引起足够的重视。我们防止类似的特洛伊木马程序不能简单防范某一个具体的网址。
江民杀毒软件KV2004的最新版都能全部拦截类似Trojan/LoveSea.01.c的特洛伊木马程序,同时还能识别出所有利用ActiveXComponent漏洞的恶意网页代码。启动江民杀毒软件的的实时监控,即可有效的保护用户系统不被该恶意网站攻击。更多详细情况请查阅江民科技网站http://www.jiangmin.com .
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
