IT家园 - Powered by Discuz! Board

标题: [分享] 恶意网址4255.biz [打印本页]

作者: 龙腾九天 时间: 2007-4-23 10:19 标题: 恶意网址4255.biz

恶意网址4255.biz从昨天20号开始，一个名为http://4255.biz的恶意网址，在国内互联网中快速传开。该恶意网址中用到了MS06-014和MS07-017漏洞网页木马来下载病毒，同时当病毒运行后，会下载其他的盗号木马，还包括WinPcap工具。使用WinPcap工具进行ARP攻击，导致用户在浏览网页的时候自动加入这个恶意网址，重复感染。尤其对局域网用户危害更大.
打开该网页后，就可以看到三个恶意网址：

001.htm用到的是MS07-017漏洞的网马；
002.htm用到的是MS06-014漏洞的网马；
003.htm会下载ccc.html（其实是个chm文档）。

这三者的目的，都是为了运行病毒本身。病毒大小15,620 字节，UPack加壳，MD5值为b1e2f5ec9e3b42e8142b3335625f2579，Kaspersky检测为Virus.Win32.Delf.bl

运行后会生成
%windows%\system\logo_1.exe
%windows%\system\MCIWACE.INC
%windows%\system\MCIWACE.DRV

会下载一个非exe文档：
http://35623.com/upwina.exe

作者: 浪花 时间: 2007-4-24 08:17

知道了,谢谢斑斑!

作者: necon 时间: 2007-4-24 08:52

知道了，辛苦了斑竹。

作者: yige55555 时间: 2007-4-26 15:45

快快了解,好对症下药

欢迎光临 IT家园 (http://bbs.it998.com/)