恶意网站llsging.com(Worm.Win32.Downloader.bi)分析
|
超级巡警团队监测数据表明,近日恶意网站llsging.com的相关网页木马链接广泛传播,该网站的所链接的网马利用现在流行的应
用程序的漏洞进行传播。其利用漏洞包括:ms06014、暴风影音、ppstream、联众、百度搜霸等。利用漏洞下载并运行的恶意程序还下
载其他大量的木马程序。超级巡警团队提醒广大用户一定要利用超级巡警的系统补丁检查与应用程序漏洞检查功能, 修复系统中存在
的漏洞,增加系统安全性。
|
|
一、病毒相关分析: |
| |
病毒标签:
病毒名称:Worm.Win32.Downloader.bi
病毒类型:蠕虫
危害级别:3
感染平台:Windows
病毒大小:34,864(字节)
SHA1 :ed6bcb112b0cb67139c873db2e3141750eed2414
加壳类型:NSPack V3.7
开发工具:Microsoft Visual C++ 6.0 |
|
病毒行为:
1、生成文件:
%System%/drivers/pcidisk.sys
并注册为服务PciHardDisk
2、程序运行后会下载文件
http://d2.llsging.com/*****.txt
并根据此文件的内容下载大量木马程序,并保存到
c:\program files\conime?.exe //?为数字0至9与字母a至u
下载文件为:
http://67.43.156.*/*****/1.exe
http://67.43.156.*/*****/2.exe
http://67.43.156.*/*****/3.exe
http://67.43.156.*/*****/4.exe
http://67.43.156.*/*****/5.exe
http://67.43.156.*/*****/6.exe
http://67.43.156.*/*****/7.exe
http://205.209.142.*/*****/8.exe
http://205.209.142.*/*****/9.exe
http://205.209.142.*/*****/10.exe
http://205.209.142.*/*****/11.exe
http://205.209.142.*/*****/12.exe
http://205.209.142.*/*****/13.exe
http://205.209.142.*/*****/14.exe
http://205.209.142.*/*****/15.exe
http://205.209.142.*/*****/16.exe
http://205.209.142.*/*****/17.exe
http://205.209.142.*/*****/18.exe
http://205.209.142.*/*****/19.exe
http://205.209.142.*/*****/20.exe
http://205.209.142.*/*****/21.exe
http://205.209.142.*/*****/22.exe
http://205.209.142.*/*****/23.exe
http://205.209.142.*/*****/24.exe
http://60.190.118.*/*sj.exe
3、llsging.com挂马网页:
http://aa.llsging.com/*****/gege.htm 查询系统是否含有可利用漏洞,如果有则调用相应网马
http://aa.llsging.com/*****/haha.htm 利用realplayer相关漏洞网马
http://a2.llsging.com/*****/11.js 利用06014漏洞网马
http://a2.llsging.com/*****/bb.js 利用暴风影音相关漏洞网马
http://a2.llsging.com/*****/ppp.js 利用ppstream相关漏洞网马
http://a2.llsging.com/*****/bf.htm 利用联众游戏大厅漏洞网马
http://d2.llsging.com/*****/bd.cab 利用百度搜霸漏洞下载的文件
|
|
二、解决方案 |
推荐方案:
1、安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址: http://www.dswlab.com/d1.html
2、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽
http://llsging.com
http://www.llsging.com
http://aa.llsging.com
http://a1.llsging.com
http://a2.llsging.com
http://d2.llsging.com |
三、安全建议 |
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的系统补丁与应用程序补丁检查功能,及时安装相关补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、及时更新常用软件,尤其是聊天工具。
6、不要随意下载不安全网站的文件并运行。
7、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。建议使用超
级巡警屏蔽恶意网站。
8、下载和新拷贝的文件要首先进行查毒。
9、不要轻易打开即时通讯工具中发来的链接或可执行文件。
10、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
|
| |
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
|
|
Copyright(c) DSW Lab All rights reserved |
|
|