转:利用微软动画光标漏洞的复合型蠕虫分析报告

蠕虫"麦英"利用Windows动画光标漏洞已有数个变种被截获

微软表示将尽快修复Windows Animated Cursor漏洞

大 | 中 | 小

[

2007-4-2 12:49 | by viphjw]

一个非常不好的消息要告诉大家,利用微软动画光标漏洞的新蠕虫已经现身我们收到了相关的样本,通过分析,我们已经确认这是一个复合型蠕虫,含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ani漏洞网址邮件的功能、感染html等文件并向这些文件里添加含有最新漏洞网址的功能
同时我们建议广大网友、企业网管对以下两个域名和IP进行屏蔽

2007ip.com
microfsot.com
61.153.247.76

蠕虫的大小在13K左右,会释放文件到以下目录

%SYSTEM%\sysload3.exe
或
%SYSTEM%\sysbmw.exe

添加注册表键值

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="%SYSTEM%\sysload3.exe"
或
"System Boot Check"="%SYSTEM%\sysbmw.exe"

会发送邮件

发件人： i_love_cq@sohu.com
主题：你和谁视频的时候被拍下的？给你笑死了！
正文：
看你那小样！我看你是出名了！
你看这个地址！你的脸拍的那么清楚！你变明星了！
h**p://macr.microfsot.com/<removed>/134952.htm

感染.HTML .ASPX .HTM .PHP .JSP .ASP和 .EXE文件,并向.HTML .ASPX .HTM .PHP .JSP .ASP文件里植入以下代码

需要注意的是：邮件和网页中包含的网址都含有利用.ani 0-day漏洞的恶意文件
病毒还尝试通过U盘传播,在根目录下生成病毒副本tool.exe和自动播放文件autorun.inf
在新的变种里我们发现作者去掉了感染网页文件的动作,这也将使得该病毒的传播范围大幅缩小
Kaspersky:Trojan-Downloader.Win32.Agent.bky
Symantec:W32.Fubalca
McAfee:W32/Fujacks.aa
瑞星:Worm.DlOnlineGames.a
金山毒霸:Worm.MyInfect.aa/Worm.MyInfect.af
新变种里还表达了对kapersky和国内反病毒厂商瑞星的不满

Fuck Rui Xing! xV4
Hello Rui Xing an kapersky!
I don't want to destroy any computers,I don't destroy any documents,I don't infect system files.Don't Kill me!! xV4