警惕:利用Excel Oday漏洞的恶意文档开始传播
[align=center][align=center][font=宋体][font=ˎ̥][size=9pt]出处:超级巡警[/size][/font][font=ˎ̥][size=9pt]时间:[/size][/font][font=ˎ̥][size=9pt]2008[/size][/font][font=ˎ̥][size=9pt]年[/size][/font][font=ˎ̥][size=9pt]3[/size][/font][font=ˎ̥][size=9pt]月[/size][/font][font=ˎ̥][size=9pt]11[/size][/font][font=ˎ̥][size=9pt]日[/size][/font][font=ˎ̥][size=9pt][/size][/font][/font][/align][/align][font=宋体][size=3]一、事件分析:[/size][/font]
[size=3][font=宋体]近日,超级巡警团队截获到几封带有恶意[/font][font=Times New Roman]Excel[/font][font=宋体]文档附件的邮件。该恶意[/font][font=Times New Roman]Excel[/font][font=宋体]文档利用的是[/font][font=Times New Roman]Microsoft[/font][font=宋体]未修补的[/font][font=Times New Roman]Excel[/font][font=宋体]漏洞,所以危害极高。超级巡警团队建议用户不要随便打开不明来历的电子邮件,尤其是邮件附件。[/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]其中,超级巡警团队所截获的邮件中[/font][font=Times New Roman]Excel[/font][font=宋体]文档的附件名为[/font][font=Times New Roman]“[/font][font=宋体]通知[/font][font=Times New Roman].xls”[/font][font=宋体],大小为[/font][font=Times New Roman]172K[/font][font=宋体]。该漏洞目前微软官方尚无补丁,样本文件中内置了黑客的后门程序,在打开[/font][font=Times New Roman]Excel[/font][font=宋体]文档时,木马将被激活。[/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[font=宋体][size=3]漏洞解码截图:[/size][/font]
[font=Times New Roman][size=3] [img]http://www.sucop.com/vir/img/excel.png[/img][/size][/font]
[size=3][font=宋体]当恶意文档被打开后会释放一个文件名为[/font][font=Times New Roman]2008.exe[/font][font=宋体]的后门程序并运行。该后门程序病毒名为[/font][font=Times New Roman]BackDoor.W32.Hupigon.jy[/font][font=宋体],开发工具为[/font][font=Times New Roman]Microsoft Visual C++ 6.0[/font][font=宋体],未加壳,大小[/font][font=Times New Roman]78.8K[/font][font=宋体]。后门程序运行后会有以下行为:[/font][/size]
[font=Times New Roman][size=3]1[/size][/font][font=宋体][size=3],释放以下文件:[/size][/font]
[font=Times New Roman][size=3]%System%\localpsrv.tbl
%System%\localpst.dll
%System%\drivers\localpsrv.sys
%System%\localpsrv.dat
2[/size][/font][size=3][font=宋体],将[/font][font=Times New Roman]%System%\localpst.dll[/font][font=宋体]注册为一个名为[/font][font=Times New Roman]LocalPassSvcs[/font][font=宋体]的服务来随系统启动。[/font][/size]
[font=Times New Roman][size=3]3[/size][/font][size=3][font=宋体],插入到[/font][font=Times New Roman]svchost.exe[/font][font=宋体]进程中,连接域名[/font][font=Times New Roman]xpupdate.3322.org[/font][font=宋体],并接受控制。[/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[font=宋体][size=3]超级巡警已经针对此木马进行了紧急升级。[/size][/font]
[font=Times New Roman][size=3] [/size][/font]
[font=宋体][size=3]二、解决方案[/size][/font]
[size=3][font=宋体] [/font][font=Times New Roman] 1[/font][font=宋体],超级巡警团队建议大家随便打开不明来历的电子邮件,尤其是邮件附件,并关注微软官方的补丁情况。[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] 2[/font][font=宋体]、已经中毒的用户可以将病毒文件路径粘贴到超级巡警暴力文件删除工具内暴力删除,直接杀死该病毒。[/font][/size]
[size=3][font=宋体] [/font][font=Times New Roman] 3[/font][font=宋体]、推荐安装超级巡警进行全面病毒查杀和实时检测。[/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[font=宋体][size=3]超级巡警:彻底查杀各种木马,全面保护系统安全。[/size][/font]
[font=Times New Roman][size=3] [/size][/font][font=宋体][size=3]更多免费工具下载:[/size][/font][url=http://www.dswlab.com/][font=ˎ̥][size=9pt][font=Times New Roman][color=#800080]http://www.dswlab.com[/color][/font][/size][/font][/url]
[font=Times New Roman][size=3] [/size][/font][font=宋体][size=3]专业的桌面与内容安全产品:[/size][/font][url=http://www.unnoo.com%20/][font=ˎ̥][size=9pt][font=Times New Roman][color=#000000]http://www.unnoo.com[/color][/font][/size][/font][/url]
[table=98%][tr][td=1,1,84%][align=center][align=center][font=宋体][size=12pt]Copyright(c) DSW Lab All rights reserved[/size][/font][/align][/align][/td][td=1,1,16%][align=left][align=left][font=宋体][size=12pt] [/size][/font][/align][/align][/td][/tr][/table][font=Times New Roman][size=3] [/size][/font]
页:
[1]