前沿技术

31期报告汇总
 
安天CERT发布《Nimnul感染式卷土重来》

 
       近日,安天CERT发现大量网站感染恶意代码,经分析发现,这是由感染EXE、DLL、HTML文件的感染式病毒Virus/Win32.Nimnul.a引起的。这个感染式病毒感染系统中的HTML文件,感染后的HTML被安天检测为:Trojan[Dropper]/VBS.Agent.b。如果受感染系统是网站服务器,其网页都将被该病毒感染;同时,访问了该网页的用户也有可能被该病毒感染,这也是大量网站被感染的一个原因。

       被分析的样本为感染式病毒,运行后会感染本地可执行程序(EXE、DLL),会感染全盘的网页文件(HTML、HTM),将自身写入到它们内部,当运行可执行程序或加载网页文件时,都会运行该病毒。该样本是在正常程序的尾部添加新的节.rmnet,将程序入口点修改到新增加的节中,通过这种方式进行感染可执行程序。

       该样本感染是通过在正常网页文件中写入一段VBScript脚本来实现的。这段脚本的功能是将WriteData这段内容转为二进制,保存为svchost.exe文件,存放到Temp目录下,并调用该程序执行。使用IE打开被感染的HTML文件,会弹出IE保护信息栏,点击允许之后,再次弹出安全警告是否允许活动的内容,点击是之后,会弹出警告窗口,是否允许这种交互,点击是,此时,在Temp文件夹下就会释放出svchost.exe了。所以被感染的系统都会访问这个已经失效的域名:fget-career.com。

       Virus/Win32.Nimnul家族样本在安天病毒库中共有227万多的HASH,最早发现时间是2010年9月7日。据安天CERT统计,三天内有178个国内网站感染该病毒。因为该感染式病毒感染网页文件,并可以通过网站传播,所以安天CERT预测国内仍会有大量网站继续感染此病毒。



按访问者
政府
运营商
金融
能源
合作伙伴
新闻媒体
求职者
关于我们
公司概况
工作机会
大事记
部分客户
公司荣誉
诚聘英才
常用链接
产品综述
终端侧安全
威胁深度鉴定
引擎类
态势感知
威胁响应
公告与报告
服务与支持
服务与支持
软件升级
售后服务
安全培训服务
安全技术服务