Endpoint Protection

 View Only
Back to Library

“猪流感”引发的“互联网疫情” 

Apr 30, 2009 02:05 AM

    最近关于“猪流感”的新闻报道铺天盖地。在“猪流感”成为热点话题的同时,病毒编写者也打起了它的主意。赛门铁克安全响应中心已截获以“猪流感”为主题的病毒样本。而随着大众关注度的提高,攻击者可能会继续利用该话题编写恶意程序,并借助以“猪流感”为主题的垃圾邮件对病毒进行传播。因此,大家要格外警惕。 

 

    赛门铁克截获的病毒样本是一个名为“Swine influenza frequently asked questions.pdf”(猪流感常见问题及解答)的Adobe PDF文件。下面是该文件的一段截图:

 

    当用户打开该PDF文件时,文件中所携带的恶意代码会攻击一个已知的Adobe漏洞 (BID 33751) ,并试图释放一个恶意程序。赛门铁克将此类恶意PDF文件检测为Bloodhound.Exploit.6,将释放的恶意程序检测为Infostealer 

 

    同时,我们还发现一些关于“猪流感”话题的网站也遭到病毒攻击,访问这些网页的用户很容易中毒:

 

 

 

    如上图所示,该页面被注入了远程脚本http://[REMOVED].org/c.js。此脚本会重定向URL,最终将用户指向另一个被加密的恶意网页23ff[REMOVED]22.org/a/cnzz.htm。被加密的恶意网页脚本如下:

 

 

    解密后的脚本如下:

 

 

    此脚本会根据用户所使用的浏览器等信息将其重定向至不同的攻击页面。攻击页面会尝试攻击联众世界游戏客户端,迅雷,Flash播放器,RealPlayer播放器,QvodPlayer播放器等第三方软件的漏洞。 

 

    下面是试图攻击联众世界游戏客户端漏洞的网页代码23ff[REMOVED]22.org/a/lz.htm

 

 

     一旦对上述漏洞攻击成功,用户会在毫不知情时下载并运行以下病毒:

 

http://20[REMOVED]iji.com/xiao/aa1.exe

http://20[REMOVED]iji.com/xiao/aa2.exe

http://20[REMOVED]iji.com/xiao/aa3.exe

http://20[REMOVED]iji.com/xiao/aa4.exe

http://20[REMOVED]iji.com/xiao/aa5.exe

http://20[REMOVED]iji.com/xiao/aa6.exe

http://20[REMOVED]iji.com/xiao/aa7.exe

http://20[REMOVED]iji.com/xiao/aa8.exe

http://20[REMOVED]iji.com/xiao/aa9.exe

http://20[REMOVED]iji.com/xiao/aa10.exe

http://20[REMOVED]iji.com/xiao/aa11.exe

http://20[REMOVED]iji.com/xiao/aa12.exe

http://20[REMOVED]iji.com/xiao/aa13.exe

http://20[REMOVED]iji.com/xiao/ktv14.exe

http://20[REMOVED]iji.com/xiao/aa15.exe

http://20[REMOVED]iji.com/xiao/aa16.exe

http://20[REMOVED]iji.com/xiao/aa17.exe

http://20[REMOVED]iji.com/xiao/good18.exe

http://20[REMOVED]iji.com/xiao/aa19.exe

http://20[REMOVED]iji.com/xiao/aa20.exe

http://20[REMOVED]iji.com/xiao/aa21.exe

http://20[REMOVED]iji.com/xiao/aa22.exe

http://20[REMOVED]iji.com/xiao/aa23.exe

http://20[REMOVED]iji.com/xiao/aa24.exe

http://20[REMOVED]iji.com/xiao/aa25.exe

http://20[REMOVED]iji.com/xiao/aa26.exe

http://20[REMOVED]iji.com/xiao/aa29.exe

http://20[REMOVED]iji.com/xiao/aa30.exe

http://20[REMOVED]iji.com/xiao/aa33.exe

http://20[REMOVED]iji.com/xiao/aa34.exe

 

     赛门铁克已经可以检测上述网站攻击中的所有病毒,所检测的病毒名为:

Infostealer.Gampass

Infostealer.Onlinegame

Infostealer

Trojan Horse

 

     在此,我们要提醒用户及时为Adobe AcrobatFlash及各类多媒体软件安装补丁,并及时更新。同时,用户应留意来自未知第三方的电子邮件,不要轻易打开邮件附件,以免误将病毒下载至计算机中。 

 

  特别感谢Dennis Tan为本文提供病毒分析支持。
Message Edited by Livian Ge on 04-29-2009 11:25 PM

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.