系统数据访问组件缺陷脚本自动下载程序


IT资讯	系统天下	网盟学院


硬件DIY	软件下载	网络安全

您现在的位置： ChinaBeta.cn 中文IT资讯 >> 网络安全 >> 警戒公告 >> HACK技术正文

系统数据访问组件缺陷脚本自动下载程序

Www.ChinaBeta.Cn 更新时间：2008-5-17

【ChinaBeta.Cn 网络安全】

利用Microsoft Data Access Components (微软系统数据访问组件) 实现缺陷的漏洞利用脚本，如果顺利在系统中运行起来，就会从指定的地址下载木马程序执行。“漏洞脚本下载器6039”（VBS.Downloader.ab.6039）最近开始发威。

    对于具有系统安全漏洞的电脑而言，即便安装有安全软件，也有可能被病毒攻破。就如同房子的墙壁破了个洞，你在门口拴再怎么凶猛的狗，贼也一样进得来。

    该病毒就是一个利用系统安全漏洞实施破坏行为的恶意脚本。这个病毒体积非常小，可主要利用网页挂马和捆绑文件进行传播。它所利用的漏洞是Microsoft Data Access Components (MDAC) 中的实现缺陷。当它发现电脑系统中存在该漏洞时，就可以利用该漏洞绕开系统安全模块，擅自调用IE浏览器的进程，连接病毒作者指定的地址http://www.me****b.com.tw/english/newly/image和http://www.li****me.com.tw/pic，下载多个伪装成.jpg格式图片文件的病毒，存放到系统盘根目录和系统临时文件夹中。

    同样，由于传播速度快、传播成本低、难以被追踪，利用QQ等即时聊天工具进行传播已经是不少病毒优先选择的传播途径。在毒霸反病毒工程师近日捕获到的病毒中，就又出现了QQ病毒的身影。

    这个病毒实际上是个刷流量的木马，如果它成功进入系统，就会修改注册表中关于IE浏览器的数据，使得浏览器自动登录HTTP://WWW.****44.COM、http://www.****3344.com、http://www.****u-1.com等由病毒作者指定的网页，为这些网页“贡献”流量。

    而为了实现最大规模的传播，它每隔几分钟就搜索用户是否启动了QQ进程，如果有，则在用户不知晓的情况下，读取用户的好友列表，向好友们发送含有挂马网页链接的消息，诱惑好友点击。如果点击进去，会发现就是以上的那几个网页，并且被病毒乘机传染好友的电脑。

    这个病毒在运行完毕后会自我删除原始文件，干扰用户查杀。不过习惯手动杀毒的用户仍然可以通过病毒释放出的文件找到它。病毒文件主要有系统盘根目录下的d.exe、d1.exe，以及%Temporary Internet Files%\Content.IE5\2PF3QNZE\目录下的ddos1[1].htm、uniq[1].htm、ddos[1].htm。