作者: 中关村在线 张齐
最近利用RealPlayer漏洞进行传播的病毒越来越多,而对于木马下载二次感染模式,安全频道在以前已经分析过,这的确是未来病毒木马发展的“大趋势”。面对漏洞,利用脚本方法进行渗透的方式,可以更快速的把握终端,从而获得控制权。
“播放器漏洞下载者4198”(JS.Downloader.aa.4198),这是一个病毒下载器。它本身是一个RealPlayer的漏洞利用脚本,如果漏洞利用成功,将会从指定的地址下载木马程序执行。
“文件夹下载器36864”(Win32.hack.Agent.36864),这是一个木马下载风险程序。它主要通过网页木马、文件捆绑、移动存储介质方式传播。木马的图标会伪装成Windows默认的可执行文件图标,扩展名为exe,骗过用户的注意或诱惑用户点击。
一、“播放器漏洞下载者4198”(JS.Downloader.aa.4198) 威胁级别:★
这个病毒下载器是一个脚本病毒。它体积很小,可以利用网页挂马和捆绑与视频文件的方式进行传播。
如果这个病毒成功进入用户电脑,那么当用户利用6.0.10.4版本的RealPlayer多媒体播放器播放视频和音乐时,它就会发作,利用RealPlayer播放器的漏洞绕开系统本身的安全模块,并在后台悄悄连接病毒作者指定的远程地址http://61.1*8.38.1*8/images,进行下载活动。
二、“文件夹下载器36864”(Win32.hack.Agent.36864) 威胁级别:★
病毒将文件Security.exe释放到%WINDOWS%\system32\目录中,并修改文件属性为隐藏、系统。然后查找系统中是否有卡巴斯基的驱动文件klif.sys,如有,则修改系统时间为过去,使得依赖时间进行激活和升级的卡巴失效。
当修改注册表启动项中的数据,让病毒文件Security.exe运行起来后,病毒就搜索并关闭“IE 执行保护”与“瑞星卡卡上网安全助手 - IE防漏墙”的安全提示。然后开启系统桌面进程IEXPLORE.EXE,申请内存空间将病毒一部分代码写入,并通过相关函数激活病毒代码进行代码注入,逃避杀毒软件的查杀。
最后,病毒访问病毒作者指定的恶意网站下载其它病毒程序并运行。同时,遍历磁盘,在所有的磁盘分区根目录中释放隐藏的AUTO病毒文件和autorun.inf,再以批处理的方式将病毒原文件删除。这样一来,以后只要用户在中毒电脑上使用U盘等移动存储设备,病毒就会将其感染,实现更大规模的传播。
需要注意的是,此下载器的图标会伪装成Windows默认的可执行文件图标,扩展名为exe,骗过用户的注意或诱惑用户点击。
当前位置:
