新型Hack恶意广告木马绞杀记
三、柳暗花明:
经过以上的“折腾”,已经耗去了自己半天的时间,真的就不能“搞定”了吗?笔者试着用“http://aaa.369678.cn”作为关键词进行搜索,发现也有很多帖子,终于在众多的帖子中找到了一篇有“价值”的,经过该贴的介绍,发现其实这是一个利用微软 MS07-004(929969)矢量标记语言(VML) 缓冲区溢出漏洞进行传播的恶意程序。由于各杀毒厂商对其命名不同,笔者心中暗想:“难怪使用“Hack.Exploit.Vml.l”作为关键词不能搜索到清除的方法,原来是因为各种杀毒软件对这个漏洞的命名不同造成的”。
1、各安全公司对此恶意程序的名称如下:
Rising(瑞星): Hack.Exploit.Vml.l
Kaspersky(卡巴斯基):Trojan-Downloader.JS.Agent.lp
Symantec(诺顿): Bloodhound.Exploit.117
2、什么是VML:
微软的Windows系统中的矢量标记语言 (VML) 实施中存在一个远程执行代码漏洞。 攻击者可能通过构建特制的网页或 HTML 电子邮件来利用该漏洞,当用户访问网页或查看邮件时,该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。如果用户使用管理用户权限登录,成功利用此漏洞的攻击者便可完全控制受影响的用户计算机系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建一个新的帐户并拥有完全用户权限。那些使用管理员组(Administrator)帐户登陆系统的用户,受到的影响,要比使用其他组帐户登陆系统的用户,要大很多,因为他们拥有更高的系统操作权限。
3、感染途径:
此漏洞通常有两种感染途径:利用MS07-004漏洞给网站挂马和局域网传播。
网站挂马:当用户访问带有恶意代码的网站时,浏览器会自动运行恶意脚本,下载病毒木马,杀毒软件便会报告病毒。如果用户计算机没有安装MS07-004系统补丁,就会感染病毒。如果用户的电脑已经安装了该补丁,杀毒软件仍然有提示病毒的警告,请清空IE临时文件夹。
局域网传播:如果你使用的是局域网内的计算机,同时你的电脑已经安装了MS07-004系统补丁,访问网站时,杀毒软件仍然发出发现该病毒的警告。此时应该怀疑局域网中是否感染了ARP病毒,建议网管对全网内计算机进行排查,找出毒源计算机,进行杀毒。