9月20日,江民科技反病毒中心截获到一个假冒微软网站进行传播的病毒“网页收割者”(Virus.Autorun.dr),该病毒会感染网页文件,向其中插入恶意网址连接,并利用多个系统漏洞下载20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
江民反病毒专家介绍,“网页收割者”病毒采用Delphi 工具编写,病毒运行后,会创建病毒进程crsss.exe,该进程指向的路径为:%WinDir%\System32\crsss.exe,文件大小为 62512字节。病毒会在注册表中添加以下自启动项,以使自己随Windows操作系统同时运行。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"crsss" = %WinDir%\system32\crsss.exe
该病毒还会搜索硬盘中扩展名为*.htm、*.html、*.asp、*.aspx、*.php、*.jsp 的网页脚本文件,向其中插入恶意网址****.htm,该恶意网址伪装成微软网站,极具欺骗性。病毒还会在系统目录system32下生成下载网游木马列表文件c.txt ,病毒会将这些网游木马下载并且执行。用户一旦点击中毒网页,该恶意网页即可利用MS06-014、MS06-046、MS07-017 等多个系统漏洞下载并且执行20多个恶性网游木马,盗取游戏玩家的帐号和密码,给玩家带来极大的损失。
江民反病毒专家介绍,“网页收割者”病毒还会通过U盘/MP3/移动硬盘等移动存储设备进行传播,在其中生成autorun.inf和niu.exe两个病毒文件,这样当用户在双击打开U盘的时候就会将病毒激活,从而感染到系统中。该病毒还会强行修改IE首页,将首页设置为 mlcro - soft. cn/update.htm 带毒网站,这样用户一打开IE浏览器就会感染病毒。该病毒还会破坏操作系统的注册表相关键值,使系统无法显示隐藏文件。
针对此病毒,江民科技反病毒中心已经紧急升级了病毒库,只要升级到9月20日的病毒库,即可拦截此病毒的入侵。