近期须防范Win32.IMG漏洞攻击器

小小白

卡巴斯基实验室经过分析发现，该病毒是通过cab文件传播，文件名通常为baidu.cab

或者uusee.cab。而这些Cab文件里面既包含恶意程序baidu.exe和

uuseemediacenter.exe。Cab文件被微软广泛所采用的压缩格式，用来发布软件。所

以这就导致一些用户对这类文件不加防范，盲目信任。
这是非常危险的，因为这些cab文件中的内容是恶意的。首先，本身用cab文件形式打

包就比较可疑，另外，其中的Baidu.exe和 uuseemediacenter.exe文件采用Upack加

密。一旦运行该文件，就会对系统产生以下影响：

该病毒会创建下列文件：

C:\Documents And Settings\Administrator\Local Settings\Temp\svchost.exe
C:\Documents And Settings\Administrator\Local Settings\Temp\info.ini
C:\Documents And Settings\Administrator\Local Settings\Temp\index.dat
C:\Documents And Settings\Administrator\Local Settings\Temp\?ì?ˉ.bat
C:\Documents and Settings\Administrator\Local Settings\Temp\6616123.TMP
C:\Documents and Settings\Administrator\Local Settings\Temp\661524f.TMP
C:\Documents and Settings\Administrator\Local Settings\Temp\6619e2.TMP"
C:\\WINDOWS\\system32\\drivers\\Beep.sys

这些文件中，除了C:\Documents And Settings\Administrator\Local

Settings\Temp\info.ini，剩下的其他文件都为恶意软件如漏洞或者rootkit。

其中的漏洞会攻击反病毒软件。它会自动搜索反病毒软件的进程，一旦发现，就会终

止反病毒软件的进程。

同时，它还会创建以下注册表项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File

Execution Options\[%AV_SOFTWARE%].exe and setup “Debugger” option to  “

ntsd –d”

这样，如果你运行杀毒软件，真正运行的就是windows的debugger。

而且，该病毒还会自动连接并下载网络上的http://www…….com/bak.txt文件到用户

计算机上的C:\Documents And Settings\Administrator\Local

Settings\Temp\index.dat。这个URL链接包含很多恶意文件。大部分为游戏盗号木马

如Trojan-GameThief.Win32.Magania 或者 Trojan-GameThief.Win32.OnLineGames。

关于此病毒的行为分析如下：

Exploit.Win32.IMG-WMF.fx是一个多功能的恶意程序，它的模块包括如下部分：
1.        隐蔽安装自身到系统
2.        具备对抗反病毒软件的能力
3.        具有rootkit和反编译技术
4.        可以下载其他恶意软件


专家预防建议:

    * 1.建立良好的安全习惯，不打开可疑邮件和可疑网站。

    * 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。

    * 3.使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。

    * 4.现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

    * 5.安装专业的防毒软件升级到最新版本，并开启实时监控功能。

    * 6.为本机管理员帐号设置较为复杂的密码，预防病毒通过密码猜测进行传播，

最好是数字与字母组合的密码。

    * 7.不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

flb_2001

没看明白到底是什么漏洞？