小陌反病毒资讯

Worm.Viking变种疯狂席卷国内互联网

Fri, 02 Jun 2006 10:31:00 GMT

国内老牌的感染型蠕虫Worm.Viking变种正在国内快速传播中，金山、瑞星等国内反病毒厂商都对变种做了应急处理，小陌提醒广大国内用户紧快升级手中的杀毒软件来防范此家族的变种。

Viking家族的变种会感染pe文件，给中招用户带来不小麻烦，同时还具有网络感染、下载网络木马等其他功能。中招用户的典型特征为电脑中出现logo_1.exe、rundl132.exe文件。

同时该家族的Worm.Viking.i（瑞星Worm.Viking.bp）变种还通过qq尾巴传播，qq尾巴的形式：

h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C2/

以下是金山、瑞星的报告：

1. 金山：Worm.Viking.m

2. 瑞星：瑞星紧急升级报告：18.29.33版新增2个可查杀病毒

最新情况可以访问：http://smallmo.bokee.com/5154697.html

GpCode新变种在俄罗斯快速传播中

Fri, 02 Jun 2006 10:30:00 GMT

Kaspersky今天针对GpCode家族最新变种Virus.Win32.GpCode.ae发布了警报，称这支新的变种在俄罗斯境内快速传播中，Kaspersky Lab收到了大量用户的求救。目前还会大面积的传播开，小陌提醒广大国内用户小心！

这支最新的变种采用了更为安全的RSA 260 bit加密运算法则，目前Kaspersky反病毒软件还不能对被这个新变种加密的文档进行解密，Kaspersky会尽快将解密程序的代码放入数据库提供给广大用户升级。

不过Kaspersky旧的病毒库可以侦测这支新变种，报警为Virus.Win32.GpCode.ad

病毒作者会留下以下提示：

Some files are coded by RSA method.
To buy decoder mail: k47674@mail.ru
with subject: REPLY

感染StarOffice的宏病毒

Wed, 31 May 2006 10:11:00 GMT

Kaspersky截获首个感染StarOffice的宏病毒——Virus.StarOffice.Stardust.a。

病毒由Star Basic语言编写，感染StarOffice/OpenOffice。

BeastPWS木马假冒微软最新补丁

Wed, 31 May 2006 10:10:00 GMT

来自国外各大反病毒公司的最新消息，一个假冒微软WinLogon服务漏洞的木马被截获。小陌提醒广大网友小心！

这个木马通过一封假冒微软WinLogon服务漏洞的邮件进行传播，形式如下：

From: Microsoft [mailto:patch@microsoft.com]
Sent: Monday, 29 May 2006 7:16 AM
To: Victim
Subject: Microsoft WinLogon Service - Vulnerability Issue

Microsoft Coorporation

A new vulnerability has been discovered in the Microsoft WinLogon Service , that would allow an attacker to gain access to an unpached computer.

Since your email is part of our private mail lists and your have succesfully registered your Microsoft Windows , you can download the patch to fix this vulnerability before others do.

Please click the link below to download the patch and protect your computer against WinLogon attacks :

http://www.microsoft.com/patches-win-logon-critical/winlogon_patchV1.12.exe

You are free to share this with all your friends and relatives that are using Microsoft Windows Operating System

Thank you

Microsoft Coorp.

注意，mail中的链接是个假象，会指向h**p:// www.redcallao.com/ [REMOVED] / winlogon_patchV1.12.exe（该链接已经失效）。

一些反病毒厂商对此的命名：

1. AVP的命名：Trojan-Spy.Win32.Delf.jq

2. Mcafee的命名：PWS-WinPatch

3. Sophos的命名：Troj/BeastPWS-C

4. Fortinet的命名：BeastPWS.C!tr

5. BitDefender的命名：Trojan.BeastPWS.C

6. VirusBuster的命名：TrojanSpy.Winpatch.B

7. ESET的命名：Win32/Spy.Delf.NBR

8. F-Secure的命名：Trojan-PSW.Win32.QQPass.ho

Mypic.zip病毒邮件更新

Wed, 31 May 2006 09:59:00 GMT

小陌于5.22报道过警惕附件为MyPic.zip的邮件的消息，今天网友又向小陌反映了此病毒邮件的新形式，非常感谢这位朋友。邮件的内容更具迷惑性，小陌也提醒广大网友小心！

更新过的病毒邮件在正文中加入了链接，提供下载。正文内容如下：

小妹：
　　上次跟你说的 5.1 去江西爬山认识的那个漂亮MM，哈哈，现在是我的女朋友啦！嘿嘿！！
　　现在俺这个帅哥终于走进二人世界咯.....
　　我今天挺忙的，不多写了，给你发一张我们在山里的照片，下回见面再聊...
　　估计你电脑上可能没有ACDSee，我就把照片做成EXE了，这样你直接双击就可以看到照片了。
　　如果附件打不开(好像hotmail不允许带EXE附件)，你也可以到我网站上下载：
　　http://goowy.box.net/public/static/a07gfut3ca.exe
　　不知道hotmail 这段时间咋回事，老是把我发给你的信弄丢，希望这一次你能收到...

　　　　　　　　　　　　　　　　　　哥哥
　　　　　　　　　　　　　　　　2006-5-30 16:51:44

Mypic.exe的图标有所改变，如图：

大小353,532 字节，仍是一个RAR的自解压包。里面的文件名仍同上次的版本，但文件有所修改。AVP仍报为

mypic.exe/data.rar/HLP.exe detected: Trojan.Win32.Agent.uc
mypic.exe/data.rar/SYN.exe detected: Trojan.Win32.Agent.uc

瑞星18.29.20还不能查

瑞星 unacev2.dll Buffer Overflow Vulnerability

Wed, 31 May 2006 09:57:00 GMT

FrSIRT和Secunia都报道了关于瑞星的这个漏洞。瑞星也在今天的18.29.12版本解决了此问题。稍微注意了一下Secunia的时间表，5.8告知瑞星的，瑞星今天的版本才解决，这是不是有点……

以下是FrSIRT的资料，转载一下：

Rising Antivirus "unacev2.dll" Library ACE Archive Buffer Overflow Vulnerability

Advisory ID : FrSIRT/ADV-2006-2047
CVE ID : GENERIC-MAP-NOMATCH
Rated as : Critical
Remotely Exploitable : Yes
Locally Exploitable : Yes
Release Date : 2006-05-30

Technical Description

A vulnerability has been identified in Rising Antivirus, which may be exploited by attackers to execute arbitrary code. This flaw is due to a buffer overflow error in the "UNACEV2.DLL" library when extracting an ACE archive containing a file with an overly long filename, which could be exploited by attackers to compromise a vulnerable system when a specially crafted ACE archive is scanned.

Affected Products

Rising Antivirus versions prior to 18.29.12

Solution

Upgrade to version 18.29.12 via online update.

References

http://www.frsirt.com/english/advisories/2006/2047
http://secunia.com/secunia_research/2006-36/advisory

Credits

Vulnerability reported by Secunia Research

Sinowal变种木马假冒微软XP安全更新

Wed, 31 May 2006 09:56:00 GMT

Kaspersky今天报告了一支木马Trojan-PSW.Win32.Sinowal.u，这支木马假冒微软XP安全更新，正在德国传播中，Kaspersky已经于北京时间今天清晨完成了对此木马的应急升级。

病毒邮件的形式为德文，内容如下：

寄信人: MS Windows Update [msrobot_donotreply|trickthespider|windowsupdate.com]
主题: Achtung! Wichtige Nachrichten von Microsoft Windows Update!

正文:

Achtung! Wichtige Nachrichten von Microsoft Windows Update!

Sehr geehrte Benutzer Microsoft Windows XP!

Gestern haben unbekannte Hacker den neuen Wurm-Virus eingesetzt. Nachdem er ins system reingreift, wird er von sich selbst nach Ihrer mailadressenliste
ausgesendet, und alle Ihren Kontakte werden angesteckt. Nach der Ansteckung
fängt das System instabil zu arbeiten, und der Komputer "hängt" genau nach
einer Minute nach dem nächsten Hochfahren.

Um die Benutzer des Systems Microsoft Windows XP zu schützen, haben unsere
Sicherheitsspezialisten eine Erneuerung fur das System entwickelt.

Sie sollen die an den E-Mail angehängte Datei offnen damit das System erneut
wird und vollständig von neuem Wurm geschützt wird.

Mit freundlichen Grüßen,

Windows Update

这段文字的内容大致意思是：

警告!微软更新重要通知!

亲爱的微软Windows XP用户!

昨天不知名的黑客编写了一个新的蠕虫病毒。当你的系统感染此蠕虫后，蠕虫会自动向你地址簿里的所有联系人传播。同时感染蠕虫的系统会出现不正常情况，在启动后的一分钟内将会当机。

为了保护所有使用微软Windows XP的用户不受此蠕虫的攻击，我们的安全专家已经发布了安全更新。

你应当运行附件中的更新程序来保护你的电脑不受此蠕虫的攻击。

相信此病毒邮件对国内用户的影响不大，小陌也会监控此木马的动向。

木马假冒“迈克尔杰克逊”通过MSN传播

Wed, 31 May 2006 09:55:00 GMT

一个假冒“迈克尔。杰克逊（Michael Jackson）”短片的木马正通过MSN在国外传播，有不少国外用户都种了此木马。暂时还未看到国内有网友反映，小陌特此提醒一下！

中毒用户会通过MSN发送的消息如下：

Olha q video doido. ?um video das mil e uma faces do Michael Jackson
h**p://videolegalne.no.sa**.pt/michael_jackson.cmd

michael_jackson.cmd下载到本地后，大小171,232字节，PE_Patch、UPack加壳，AVP报为Trojan-Downloader.Win32.Delf.akz，瑞星报为Trojan.Spy.Banbra.ayo

假冒“06世界杯门票”的蠕虫

Thu, 25 May 2006 14:57:00 GMT

就在06德国世界杯开幕在际，全球的球迷已经作好准备的时候。趋势科技于今天再次截获一个假冒06德国世界杯门票的蠕虫——WORM_RANCHNEG.A。小陌提醒广大网友小心！

根据趋势科技提供的报告，这支蠕虫通过email传播，email的形式都是德文，相信对国内用户的影响并不大。蠕虫会释放\%system%\mszsrn32.dll文件，这个dll文件会注入到WINLOGON.EXE进程中。同时为了确保自己能够随机启动，在注册表中添加：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify\mszsrn32

病毒邮件如图：（图片来自趋势科技）

“达芬奇密码”成为垃圾邮件目标

Thu, 25 May 2006 14:56:00 GMT

电影“达芬奇密码”（Da Vinci Code）正在全球热映中，已经成为近期的热点话题。而热点话题都不会被病毒作者、垃圾邮件作者们所冷落。这不，一封与“达芬奇密码”有关的垃圾邮件被反病毒公司Sophos截获，小陌在此提醒广大网友注意。

垃圾邮件的内容是声称只要加入邮件中的书籍俱乐部，就能够提供免费“达芬奇密码”的书籍。据Sophos报道，邮件中含有的那个书籍俱乐部的网站是含有问题的，Sophos提醒广大用户不要点击那个网址。由于没收集到关于那个网站的资料，所以暂时无法对那个网站进行分析。

病毒邮件的图片：（来自Sophos）

利用MS05-002漏洞的木马

Wed, 24 May 2006 13:52:00 GMT

趋势科技报告了一支利用MS05-002（光标和图标格式处理中的漏洞可能允许远程执行代码）漏洞的木马——TROJ_ANIMOO.D。小陌提醒广大网友小心！

这个木马来自于一个含有此漏洞的网页：h**p://traffall.biz/***/064/sploit.anr。这个文件大小912字节，CRC32为2B334CE2，AVP检测为Trojan-Downloader.Win32.Ani.c。会下载：h**p://traffall.biz/***/064/WIN32.EXE，大小8,171字节，CRC32为1B353C6F，趋势科技检测为TROJ_TIBS.AI，AVP检测为Packed.Win32.Tibs。

此外还有个文件：h**p://traffall.biz/***/064/targ.chm，大小17,436字节，也会释放%Windows%\Downloaded Program Files\win32.exe，同为Packed.Win32.Tibs

关于msinfmgr.exe病毒的一些介绍

Tue, 23 May 2006 06:05:00 GMT

近几周，在不少高校的电脑上都发现了一个名叫msinfmgr.exe和Autorun.inf的文件，并且通过U盘快速传播，小陌对此样本作了一些分析，仅供广大网友参考。同时近期通过u盘传播的病毒出现频率增多，提醒广大网友小心。

病毒名：Trojan-Spy.Win32.KeyLogger.jc（AVP）

病毒别名：Trojan.Spy.Agent.akn（瑞星）、Trojan/Small.ap（江民）

文件大小：106,496字节

CRC32：D5A411D7

MD5:daf145d0a560ae44dd132dff5acb2a80

编写语言：C++

发作现象：
生成msinfmgr.exe、msinfmgr.dll、msinfomgr.sys，通过U盘传播，在U盘中生成msinfmgr.exe和Autorun.inf。

技术资料：

1. 在注册表中创建0xbe8e2ce1, 0xdab6, 0x11d6, 0xad, 0xd0, 0x0, 0xe0, 0x4c, 0x53, 0xf6, 0xe6互斥量。

2. 创建以下键值：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msinflogon
"Startup"="logon_startup"
"Impersonate"=""
"DllName"="msinfdll.dll"
"Asynchronous"=""

HKLM\System\CurrentControlSet\Services\msinfmgr
"Type"=""
"ErrorControl"=""
"Start"=""
"DisplayName"="msinfmgr"
"ImagePath"="\%system32%\drivers\msinfomgr.sys"

3. 创建以下文件：
C:\%SYSTEM32%\msinfmgr.exe——Trojan-Spy.Win32.KeyLogger.jc（AVP）
C:\%SYSTEM32%\msinfdll.dll（57,344字节）——Trojan-Spy.Win32.KeyLogger.jc（AVP）
C:\%SYSTEM32%\drivers\msinfomgr.sys（9,728字节）——Rootkit.Win32.Agent.bo（AVP）
D:\msinfmgr.exe（同上）
D:\Autorun.inf（83字节）

4. 往U盘里复制msinfmgr.exe和Autorun.inf
Autorun.inf，大小83字节，内容如下：
[AutoRun]
shell=verb1
shell\verb1\command=msinfmgr.exe -showU
shell\verb1=Open

5. msinfdll.dll的行为：
监控Active Windows Title，记录键盘[DEL] [INS] [DF] [RF] [UF] [LF] [HOME] [END] [PD] [PU] [SP] [ESC] [EN] [TAB] [BK] [F12] [F11] [F10] [F9] [F8] [F7] [F6] [F5] [F4] [F3] [F2] [F1]

此外，还收到不同CRC32和MD5的样本：

CRC32:6999E7CC

MD5:ad6e397bbddaa9483ba2c7ff029c28b5

警惕附件为MyPic.zip的邮件

Mon, 22 May 2006 14:10:00 GMT

小陌在几小时前收到了一封可疑病毒邮件，目前为止小陌手中的反病毒软件还不能检测，特此提醒广大网友小心！

病毒邮件形式如下：

主题：我和女朋友的合影(5.1 认识的)

正文：

小妹：
    上次跟你说5.1时去江西爬山认识的那个漂亮MM，哈哈，现在是我的女朋友啦！嘿嘿！！
    现在俺这个大帅哥终于走进二人世界咯.....
    其实我觉得张建东还不错，他做你男朋友我觉得也挺好，当然主意还要你自己拿噢，关键还是你自己要喜欢。
    我今天挺累的，不多写了，给你发一张我们在山里的照片，下回见面再聊...
    对了，照片比较大，我把它压缩了一下，你要解压后再看。

哥哥
10:06:33

附件：MyPic.zip

zip文档里是一个叫MyPic.exe的文件，大小743,669 字节，是一个RAR的自解压包，如图：

HLP.exe，运行后会生成C:\Program Files\Windows NT\lsass.exe、C:\Program Files\Windows NT\svchost.exe、C:\Program Files\Windows NT\NTSGWUT.DLL，同时创建HKLM\SYSTEM\CurrentControlSet\Services\Internet的服务。

终止以下进程：

UpdateAssist.exe
PFWLiveUpdate.exe
PFW.exe RavQuick.exe
RavCopy.exe
RavUSB.exe
rfwcfg.exe
RavHDBak.exe
ScanBD.exe
MakeBoot.exe
RegClean.exe
RavStore.exe
SmartUp.exe
RsConfig.exe
RsAgent.exe
Rav.exe
RegGuide.exe
RavTask.exe
RavTimer.exe
RavStub.exe
rfwmain.exe
RavMon.exe
rfwproxy.exe
CCenter.exe
RavMonD.exe
rfwsrv.exe
LUCOMS~1.EXE
LUALL.EXE
NMain.exe
ccApp.exe
SPBBCSvc.exe
ccSetMgr.exe
ccProxy.exe
SNDSrvc.exe
ccEvtMgr.exe
symlcsvc.exe
navapsvc.exe
ccPwdSvc.exe
SAVScan.exe
NSCSRVCE.EXE
comHost.exe
kav.exe
kavsvc.exe
KAVLog2.EXE
Rescue.EXE
KRecycle.EXE
Update.EXE
KSAMain.EXE
KATMain.EXE
KASMain.EXE
KAVPFW.EXE
KAV32.EXE
KMailMon.EXE
KPFW32.EXE
KAVStart.EXE
KWatch.EXE
KPFWSvc.EXE
VirusBox.kxp
kvupload.exe
KVStub.kxp
KVScan.kxp
KvReport.kxp
KVLSUI.kxp
KVHiStory.kxp
kvdisk.kxp
KvDetect.exe
KVOL.exe
KVCenter.kxp
KRegEx.exe
kvinit.exe
kvfw.exe
KvXP.kxp
TrojDie.kxp
KvMailMag.kxp
KVMonXP.kxp
UIHost.exe
IDriverT.exe
kvwsc.exe
KVSrvXP.exe
agentsvr.exe
Symantec Core LC
SPBBCSvc
SNDSrvc
SAVScan
NSCService
navapsvc
comHost
ccSetMgr
ccProxy
ccISPwdSvc
ccEvtMgr
kavsvc
KWatchSvc
KPfwSvc
IDriverT
KVWSC
KVSrvXP
srservice
BITS
wuauserv
SharedAccess
wscsvc

会删除启动项中含有SKYNET、Personal FireWall、RavTask、RavMon、RavTimer、RfwMain、URLLSTCK.exe、ccApp、KAVPersonal50、Kavrun、KavPFW、KavStart、iDuba Personal FireWall、KVFW、KvXP、KvMonXP的键值。

删除以下服务项：

HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
HKLM\SYSTEM\CurrentControlSet\Services\RfwProxySrv
HKLM\SYSTEM\CurrentControlSet\Services\RfwService
HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
HKLM\SYSTEM\CurrentControlSet\Services\SAVScan
HKLM\SYSTEM\CurrentControlSet\Services\NSCService
HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
HKLM\SYSTEM\CurrentControlSet\Services\comHost
HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
HKLM\SYSTEM\CurrentControlSet\Services\ccISPwdSvc
HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
HKLM\SYSTEM\CurrentControlSet\Services\KWatchSvc
HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc
HKLM\SYSTEM\CurrentControlSet\Services\IDriverT
HKLM\SYSTEM\CurrentControlSet\Services\KVWSC
HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
HKLM\SYSTEM\CurrentControlSet\Services\srservice
HKLM\SYSTEM\CurrentControlSet\Services\BITS
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc

生成C:\Clean.bat，批处理文件内容：
DEL /F /Q %SystemRoot%\system32\drivers\npf.sys
DEL /F /Q %SystemRoot%\system32\Packet.dll
DEL /F /Q %SystemRoot%\system32\WanPacket.dll
DEL /F /Q %SystemRoot%\system32\wpcap.dll
DEL /F /Q C:\Clean.bat
DEL /F /Q %SystemRoot%\HLP.exe
DEL /F /Q %SystemRoot%\SYN.exe

打开图片文件MyPic.jpg。

SYN.exe，生成C:\Program Files\Windows NT\lsass.exe、C:\Program Files\Windows NT\svchost.exe、C:\Program Files\Windows NT\ICWUT.DLL。同时下载：

h**p://notksfedyfb.yourfreewebspace.com/not_v1/not_ini_v1.jpg
h**p://notksfedyfb.yourfreewebspace.com/
h**p://notksfedyfb.501megs.com/not_v1/not_ini_v1.jpg
h**p://notksfedyfb.501megs.com/
h**p://goowy.box.net/public/static/qy2y18xvqv.jpg
h**p://notmybobo.yourfreewebspace.com/not_v1/not_ini_v1.jpg
h**p://notmybobo.yourfreewebspace.com/not_v1/
h**p://notmybobo.501megs.com/not_v1/not_ini_v1.jpg
h**p://notmybobo.501megs.com/
h**p://goowy.box.net/public/static/e6efh1kgde.jpg
h**p://notidgbwdsg.yourfreewebspace.com/not_v1/not_ini_v1.jpg
h**p://notidgbwdsg.yourfreewebspace.com/
h**p://notidgbwdsg.501megs.com/not_v1/not_ini_v1.jpg
h**p://notidgbwdsg.501megs.com/
h**p://goowy.box.net/public/static/441fs763qm.jpg
h**p://notikdsfgcd.yourfreewebspace.com/not_v1/not_ini_v1.jpg
h**p://notikdsfgcd.yourfreewebspace.com/
h**p://notikdsfgcd.501megs.com/not_v1/not_ini_v1.jpg
h**p://notikdsfgcd.501megs.com/
h**p://goowy.box.net/public/static/5aggkypb3i.jpg
h**p://notkusfgffr.yourfreewebspace.com/not_v1/not_ini_v1.jpg
h**p://notkusfgffr.yourfreewebspace.com/
h**p://notkusfgffr.501megs.com/not_v1/not_ini_v1.jpg
h**p://notkusfgffr.501megs.com/not_v1/
h**p://goowy.box.net/public/static/dmoavgipcu.jpg
h**p://canobogthy.yourfreewebspace.com/can_v1/can_ini_v1.jpg
h**p://canobogthy.yourfreewebspace.com/
h**p://canobogthy.501megs.com/can_v1/can_ini_v1.jpg
h**p://canobogthy.501megs.com/can_v1/
h**p://goowy.box.net/public/static/5yqnu4o536.jpg
h**p://canliloguer.yourfreewebspace.com/can_v1/can_ini_v1.jpg
h**p://canliloguer.yourfreewebspace.com/
h**p://canliloguer.501megs.com/can_v1/can_ini_v1.jpg
h**p://canliloguer.501megs.com/
h**p://goowy.box.net/public/static/79g0vj8m8c.jpg
h**p://caniwsfvdfd.yourfreewebspace.com/can_v1/can_ini_v1.jpg
h**p://caniwsfvdfd.yourfreewebspace.com/
h**p://caniwsfvdfd.501megs.com/can_v1/can_ini_v1.jpg
h**p://caniwsfvdfd.501megs.com/
h**p://goowy.box.net/public/static/2lz9f3iqyl.jpg
h**p://cankakalalu.yourfreewebspace.com/can_v1/can_ini_v1.jpg
h**p://cankakalalu.yourfreewebspace.com/
h**p://cankakalalu.501megs.com/can_v1/can_ini_v1.jpg
h**p://cankakalalu.501megs.com/
h**p://goowy.box.net/public/static/dasd5enl3h.jpg
h**p://canmyminibobo.yourfreewebspace.com/can_v1/can_ini_v1.jpg
h**p://canmyminibobo.yourfreewebspace.com/
h**p://canmyminibobo.501megs.com/can_v1/can_ini_v1.jpg
h**p://canmyminibobo.501megs.com/
h**p://goowy.box.net/public/static/8t507ejkeh.jpg

2006.5.23 17:40更新：

AVP最新的库可以查杀：

SYN.exe——Trojan.Win32.Agent.uc

HLP.exe——Trojan.Win32.Agent.uc

2006.5.24 21:45更新：

瑞星18.28.22库可以查杀：

SYN.exe——Trojan.Agent.bzd

HLP.exe——Trojan.Agent.bzc

“华尔街社区”被放WMF网页木马

Sat, 20 May 2006 14:53:00 GMT

接到网友反映，“华尔街社区”论坛（wswire.com）被放木马。小陌前去看了一下，的确被人放置了含有木马的恶意网址，提醒广大网友小心！

在网页底部被人植入两个恶意网址：

h**p://www.shaoye.org/huaci/index.htm

h**p://skroom.com/huaci/exploit.wmf

exploit.wmf会下载：h**p://skroom.com/huaci/huaci.exe，大小330,240 字节，NSAnti加壳，AVP目前不报。看文件象是灰鸽子。

利用微软WORD 0-day漏洞的病毒出现

Sat, 20 May 2006 10:20:00 GMT

微软WORD（包括WORD XP和WORD 2003）最新的0-day漏洞现身互联网，同时利用此漏洞的病毒也伴随而来。从目前得到的信息来看，这个病毒很可能是由国人编写，暂时还未发现有大面积传播的情况，国外反病毒厂商已经完成病毒库升级，请广大网友升级手中的病毒库！

根据反病毒厂商目前提供的信息，利用WORD最新0-day漏洞的病毒通过email传播（注意：email的附件名为NO.060517.doc.doc、PLAN.DOC、FINAL.DOC），但是仅对特定对象进行攻击，而没有广泛传播开。这个0-day漏洞的功能就像释放器，当用户运行这个doc文档后，会释放后门木马。释放完木马后，这个含有漏洞的doc文档会提示文档出错，需要重新启动，其实是将一个新的干净的文档来覆盖掉原来含有漏洞的文档，当用户同意重新启动后，一个没有问题的文档将取代原有漏洞的文档。

含有此漏洞的文档有两个版本，趋势科技分别命名为：

W97M_MDROPPER.AB，大小233,472字节（没压缩）

W97M_MDROPPER.AC，大小233,472字节（没压缩）

W97M_MDROPPER.AB，释放BKDR_GINWUI.A，大小142,848字节，具有rookit功能，会被释放到%Temp%\20060424.bak（142,848 字节），运行后会释放：

%System%\Winguis.dll

%System%\drivers\IsPubDRV.sys

%System%\drivers\RVdPort.sys

%System%\drivers\DetPort.sys

在注册表中添加：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "%System%\winguis.dll"

同时会链接Localhosts.3322.org

W97M_MDROPPER.AC，释放BKDR_GINWUI.B，大小27,648字节，具有rookit功能，会被释放到%Temp%\20060424.bak（27,648字节），运行后会释放：

%System%\zsyhide.dll (11264 字节)

%System%\zsydll.dll (29696 字节) －注入IE进程

在注册表中添加：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "%System%\zsyhide.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\zsydll
dllname = "%System%\zsydll.dll"

同时会链接scfzf.xicp.net

其他反病毒厂商关于此漏洞的介绍：

1. Mcafee：

BackDoor-CKB!6708ddaf

BackDoor-CKB!cfaae1e6

2. Symantec：

3. F-Secure：

4. Kaspersky：

Trojan-Dropper.MSWord.1Table.bd

Backdoor.Win32.Gusi.a