病毒收集者--狐狸洞69712病毒介绍和样本

youba

　　病毒名称(中文):狐狸洞69712病毒别名:威胁级别:★★☆☆☆病毒类型:木马程序病毒长度:69712影响系统:Win9xWinMeWinNTWin2000WinXPWin2003
　　病毒行为:
　　这是一个利用Firefox浏览器漏洞进行攻击的病毒。安装了Firefox的机器，在调用特定的协议处理器时存在命令注入漏洞，此病毒通过这一漏洞运行起来，帮助远程攻击者在用户机器上执行任意命令。
　　1.释放病毒文件
　　%TemporaryInternetFiles%Content.IE5C4DGV5NI17PHolmes[1].cmt
　　%WINDOWS%mrofinu2000352.exe
　　文件名都是随机生成的
　　2.创建服务并开启来加载文件，使其随系统启动
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
　　runner1
　　"%WINDOWS%mrofinu2000352.exe61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
　　另外
　　HKEY_CLASSES_ROOTWR
　　HKEY_CLASSES_ROOTWRcmd"61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
　　HKEY_CLASSES_ROOTWRversion"83"
　　HKEY_CLASSES_ROOTWRnextupdatedword:48438d27
　　HKEY_LOCAL_MACHINESOFTWAREClassesWR
　　HKEY_LOCAL_MACHINESOFTWAREClassesWRcmd"61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310"
　　HKEY_LOCAL_MACHINESOFTWAREClassesWRversion"83"
　　HKEY_LOCAL_MACHINESOFTWAREClassesWRnextupdatedword:48438d27
　　3.病毒会用cmd命令删除自身
　　4.在Windows系统上，如果安装了Firefox的话，Firefox会安装一些Mozilla专用协议（如FirefoxURL和FirefoxHTML）的协议处理器.
　　如果Windows遇到了无法处理的URL协议，就会在Windows注册表中搜索适当的协议处理器，找到了正确的处理器后就会向其传送URL字
　　符串，但没有执行任何过滤。假设在Windows系统上安装了Firefox且注册了FirefoxURL协议处理器，通常这个协议处理器的的shell
　　open命令如下：
　　[HKEY_CLASSES_ROOTFirefoxURLshellopencommand@]
　　C:PROGRA~1MOZILL~2FIREFOX.EXE-url“%1″-requestPending
　　当InternetExplorer遇到了对FirefoxURLURL方案中内容的引用时，会以EXE镜像路径调用ShellExecute，并未经任何输入验证便
　　传送了整个请求URI。比方有以下请求：
　　FirefoxURL://Phol"–argument"my_value会导致使用以下命令行启动Firefox：
　　“C:PROGRA~1MOZILL~2FIREFOX.EXE”-url“firefoxurl://Phol"–argument"my_value/”–requestPending
　　因此可以对firefox.exe进程指定任意参数，这就等于获得了-chrome命令行参数，因为攻击者可以指定任意Javascript代码，然后以
　　可信任Chrome内容的权限执行。

      

[ 本帖最后由 youba 于 2009-4-11 16:24 编辑 ]

schumi小粉

McAfee 已自动阻止和删除 特洛伊木马程序。

关于此 特洛伊木马程序
已检测到: Generic!Artemis (特洛伊木马程序), Generic!Artemis (特洛伊木马程序)
位置: C:\Documents and Settings\Administrator\桌面\新建文件夹\狐狸洞变种\serial.exe

月神启发，to lab

Elcondorposa

'TR/Crypt.ULPM.Gen [trojan]'

fatezero

请求的对象被感染，发现下列病毒 Trojan-Downloader.Win32.Small.sth

wrq

Warning

--------------------------------------------------------------------------------

In order not to compromise your security, this page will not be accessed


A virus or unwanted program has been detected
in the HTTP data on the requested page.

--------------------------------------------------------------------------------

Requested URL: http://bbs.kafan.cn/attachment.p ... ba&t=1239443262
Information Is the TR/Crypt.ULPM.Gen Trojan


--------------------------------------------------------------------------------

ledled

名称: Trojan.Matcash.Gen
类型: Mutant

描述:


文件:
c:\users\administrator\desktop\serial.exe

狂舞的猪

江民杀

gzy_hao

Symantec:Downloader