每周典型威胁分析

       近日，安天CERT发现大量网站感染恶意代码，经分析发现，这是由感染EXE、DLL、HTML文件的感染式病毒Virus/Win32.Nimnul.a引起的。这个感染式病毒感染系统中的HTML文件，感染后的HTML被安天检测为：Trojan[Dropper]/VBS.Agent.b。如果受感染系统是网站服务器，其网页都将被该病毒感染；同时，访问了该网页的用户也有可能被该病毒感染，这也是大量网站被感染的一个原因。

       被分析的样本为感染式病毒，运行后会感染本地可执行程序（EXE、DLL），会感染全盘的网页文件（HTML、HTM），将自身写入到它们内部，当运行可执行程序或加载网页文件时，都会运行该病毒。该样本是在正常程序的尾部添加新的节.rmnet，将程序入口点修改到新增加的节中，通过这种方式进行感染可执行程序。

       该样本感染是通过在正常网页文件中写入一段VBScript脚本来实现的。这段脚本的功能是将WriteData这段内容转为二进制，保存为svchost.exe文件，存放到Temp目录下，并调用该程序执行。使用IE打开被感染的HTML文件，会弹出IE保护信息栏，点击允许之后，再次弹出安全警告是否允许活动的内容，点击是之后，会弹出警告窗口，是否允许这种交互，点击是，此时，在Temp文件夹下就会释放出svchost.exe了。所以被感染的系统都会访问这个已经失效的域名：fget-career.com。

       Virus/Win32.Nimnul家族样本在安天病毒库中共有227万多的HASH，最早发现时间是2010年9月7日。据安天CERT统计，三天内有178个国内网站感染该病毒。因为该感染式病毒感染网页文件，并可以通过网站传播，所以安天CERT预测国内仍会有大量网站继续感染此病毒。