2008/03/11 0 Comments
超级巡警已截获几封带有恶意Excel文档附件的邮件。该恶意Excel文档利用了Microsoft尚未修补的Excel漏洞,危害性非常高。
建议计算机用户不要随便打开来历不明的电子邮件,特别是邮件的附件!
该恶意文档被打开后会释放一个文件名为“2008.exe”的后门程序并自动运行。该后门程序病毒名为BackDoor.W32.Hupigon.jy,使用Microsoft Visual C++ 6.0制作,并未加壳,大小为78.8K。
截获的邮件中Excel文档的附件名为“通知.xls”,大小为172K。目前微软官方尚未发布该漏洞的补丁,样本文件中含有黑客的后门程序,在运行Excel文档时,木马即被激活。
漏洞解码截图:
1,释放以下文件:
%System%localpsrv.tbl
%System%localpst.dll
%System%driverslocalpsrv.sys
%System%localpsrv.dat
2,将%System%localpst.dll注册为一个名为LocalPassSvcs的服务来随系统启动。
3,插入到svchost.exe进程中,连接域名xpupdate.3322.org,并接受控制。
最后再次提醒广大计算机用户,尽量避免打开来历不明的邮件,特别是邮件的附件!
建议计算机用户不要随便打开来历不明的电子邮件,特别是邮件的附件!
该恶意文档被打开后会释放一个文件名为“2008.exe”的后门程序并自动运行。该后门程序病毒名为BackDoor.W32.Hupigon.jy,使用Microsoft Visual C++ 6.0制作,并未加壳,大小为78.8K。
截获的邮件中Excel文档的附件名为“通知.xls”,大小为172K。目前微软官方尚未发布该漏洞的补丁,样本文件中含有黑客的后门程序,在运行Excel文档时,木马即被激活。
漏洞解码截图:
1,释放以下文件:
%System%localpsrv.tbl
%System%localpst.dll
%System%driverslocalpsrv.sys
%System%localpsrv.dat
2,将%System%localpst.dll注册为一个名为LocalPassSvcs的服务来随系统启动。
3,插入到svchost.exe进程中,连接域名xpupdate.3322.org,并接受控制。
最后再次提醒广大计算机用户,尽量避免打开来历不明的邮件,特别是邮件的附件!
Leave a comment
