【51CTO.com 綜合消息】本周所收集的病毒數(shù)量及種類(lèi)均略有增加。微軟Directshow 0day漏洞補(bǔ)丁已于15日發(fā)布，請(qǐng)廣大用戶(hù)注意及時(shí)安裝（公告ID:MS09-032；KB973346）。

本周又新發(fā)現(xiàn)了微軟的office 0day漏洞，并且已出現(xiàn)利用代碼。此漏洞存在于微軟office網(wǎng)頁(yè)組件的OCW10和OCW11文件中，目前出現(xiàn)的利用代碼使用escape加密，可采用掛馬形式，當(dāng)安裝了office的用戶(hù)使用ie內(nèi)核瀏覽器訪(fǎng)問(wèn)含有此惡意代碼網(wǎng)站時(shí)，ie會(huì)占用大量cpu資源同時(shí)下載并執(zhí)行有害程序。安裝有office軟件的系統(tǒng)都會(huì)受影響（此組件會(huì)被缺省安裝）。在此提醒用戶(hù)及時(shí)升級(jí)反病毒軟件的病毒特征庫(kù)，盡量不訪(fǎng)問(wèn)未知的網(wǎng)站地址。

本周關(guān)注的病毒家族：

病毒名稱(chēng)： Win32.Cutwail.MI

病毒別稱(chēng)：

ROJ_CUTWAIL.AL (Trend), Trojan.Pandex (Symantec), Trojan.TrojanDropper:Win32/Cutwail.AA (MS OneCare), Trojan-Downloader.Win32.Mutant.yj (Kaspersky)

病毒屬性：特洛伊木馬 

危害性：中等危害 

病毒特性：

Win32/Cutwail.MI是一種帶有rootkit功能的特洛伊病毒(此家族是近期較常見(jiàn)的系列病毒)，能夠修改系統(tǒng)的winlogon.exe文件。它可能用來(lái)下載并運(yùn)行任意文件，或者注入其它的系統(tǒng)進(jìn)程。同時(shí)，此變體可發(fā)送大量的郵件和進(jìn)行自我更新。

感染方式：

Cutwail運(yùn)行時(shí)，生成一個(gè)驅(qū)動(dòng)程序文件%Windows%\System32\main.sys，并修改系統(tǒng)注冊(cè)表以便作為一個(gè)驅(qū)動(dòng)加載到系統(tǒng)內(nèi)核。完成這個(gè)過(guò)程后，原始生成的文件就會(huì)被刪除。

系統(tǒng)下一次重啟時(shí)，main.sys 文件會(huì)生成%Windows%\System32\wsys.dll文件，還會(huì)修改系統(tǒng)文件%Windows%\System32\winlogon.exe，隨后main.sys 文件被刪除。

在運(yùn)行正常的winlogon.exe代碼之前，修改winlogon.exe文件會(huì)引起它在用戶(hù)登陸或者winlogon.exe重啟時(shí)訪(fǎng)問(wèn)到wsys.dll的一個(gè)功能。這個(gè)命令會(huì)生成%Temp%\imapi.exe文件并運(yùn)行它。一些變體將這個(gè)文件生成到%Windows%\System32\drivers目錄，也可能使用svchost.exe文件名，或者兩個(gè)都用。

病毒文件imapi.exe 在%Temp%或Windows%\System32\drivers 目錄生成一個(gè)或者兩個(gè)文件。

第一個(gè)文件可能是以下文件名：

.sys、cel90xbe.sys、restore.sys、ip6fw.sys、netdtect.sys

這些實(shí)例的前3個(gè)文件，在被刪除之前，文件加載到kernel memory中。后兩個(gè)文件作為一個(gè)服務(wù)被安裝，服務(wù)名稱(chēng)為Ip6Fw 或 NetDetect respectively。

此變體還有一個(gè)下載器文件。早期的變體將這個(gè)文件寫(xiě)入%Temp%目錄，文件名一般為wuauclt.exe。使用過(guò)的文件名包括services.exe 和 systems_.exe。很多變體不將這個(gè)代碼保存到磁盤(pán)，但是會(huì)注入到Internet Explorer程序中。

危害

下載并運(yùn)行任意文件

Cutwail 發(fā)送很多信息到以下4個(gè)服務(wù)器中的一個(gè)，并嘗試下載一個(gè)文件：

66.246.252.213

67.18.114.98 

74.52.122.130

208.66.194.221

如果失敗，它就會(huì)嘗試列表中的其它服務(wù)器。一些變體連接managed.unexpand.com上的服務(wù)器。

下載的文件包含一個(gè)或者更多的編碼運(yùn)行程序。每個(gè)可運(yùn)行程序可能保存到%Temp%/.exe，并運(yùn)行，或者注入Internet Explorer程序中，并不寫(xiě)入磁盤(pán)。

發(fā)送大量的病毒郵件

病毒搜索帶有以下擴(kuò)展名的文件：

.txt、.adb、.asp、.dbx、.eml、.fpt、.htm、.inb、.mbx、.php、.pmr、.sht、.tbb、.wab

獲取的地址保存到C:\as.txt，并發(fā)送到遠(yuǎn)程黑客指定的地址。

本周常見(jiàn)較活躍病毒列表及變體數(shù)量：

表1

其他近期新病毒的資料可參考：

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建議：

1、對(duì)于個(gè)人PC，重要的系統(tǒng)補(bǔ)丁應(yīng)及時(shí)安裝；對(duì)于企業(yè)用戶(hù)，應(yīng)加強(qiáng)補(bǔ)丁管理意識(shí)，尤其對(duì)服務(wù)器等重要系統(tǒng)應(yīng)盡早安裝；

2、不訪(fǎng)問(wèn)有害信息網(wǎng)站，不隨意下載/安裝可疑插件，并檢查IE的安全級(jí)別是否被修改；

3、使用KILL時(shí)注意及時(shí)升級(jí)到最新的病毒庫(kù)版本，并保持時(shí)時(shí)監(jiān)視程序處于開(kāi)啟狀態(tài)；

4、不要隨意執(zhí)行未知的程序文件；

5、合理的配置系統(tǒng)的資源管理器（比如顯示隱含文件、顯示文件擴(kuò)展名），以便能夠更快地發(fā)現(xiàn)異?，F(xiàn)象，防止被病毒程序利用；