【比特网综合报道】新年伊始,病毒依然非常活跃,近期针对微软系统的两个严重漏洞的病毒数量较多并且出现多种变体。这两个漏洞分别是 MS08-078(IE的严重漏洞)和MS08-067,此类针对漏洞传播的病毒就给不少电脑用户带来了烦恼。
1月5日,冠群金辰公司截获了Win32/Kerbot.A病毒,该病毒通过eMule点对点软件进行传播。感染Win32/MS08-067!exploit病毒的机器上会自动下载Win32/Kerbot.A病毒,其中Win32/MS08-067!exploit是一种利用微软MS08-067漏洞进行传播的病毒。
微软MS08-067漏洞是近期微软公司公布的最严重的安全漏洞。如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码,攻击者可能未经身份验证即可利用此漏洞运行任意代码。
从冠群金辰反病毒研究中心的分析可以看到,近期出现了多个利用MS08-078和MS08-067漏洞传播的病毒,而且这些病毒在互联网上传播也非常广泛,以下是几种主要的病毒:
JS/SillyDLScript.FO 以及 JS/CVE-2008-4844!exploit
利用IE7 高危漏洞的脚本病毒,目前发现的这类病毒大多通过编写特殊的XML文件,利用JavaScript脚本操作,引发内存溢出错误后释放SHELLCODE达到获取系统权限执行有害程序的目的,目前其下载的有害程序大多为木马下载器。
Win32/Gimmiv.A病毒:木马程序主要通过微软MS08-067漏洞下载到系统中,能够从被感染机器上盗窃敏感信息。
Win32/Conficker.A蠕虫:该蠕虫病毒将代码注入到"services.exe"进程中,保留在内存中,并很难清除掉。
Win32/MS08-067!exploit :这是一类通过MS08-067漏洞进行传播的蠕虫。病毒为了执行stacked-based buffer overflow黑客行为,会发送RPC请求到存在漏洞的系统。很多变体都是通过其它病毒下载安装的。蠕虫通过SMB协议扫描网络中的所有共享文件夹,随后发送请求到IPC共享进行传播。
