01.01病毒预警：乌鸦喝水溢出漏洞攻击下载恶意程序_安全中国

“乌鸦喝水4678”（JS.fullexploit.ca.4678），这是一个利用程序溢出漏洞进行传播的脚本病毒。它主要针对百度搜霸工具条、超星阅读器、联众游戏、暴风影音、realplayer、迅雷等网络软件。病毒一旦发作，就会从指定网址下载恶意程序执行，并趁用户访问网络的时候，对用户浏览过的网站进行挂马传播。

　　“HotBar小广告634880”（Win32.Adware.HotBar.an.634880），这是一个广告软件。该程序运行后，会添加IE插件，在IE上显示名为Ho**ar的工具条，修改IE的默认界面。监视用户浏览过的链接及用户搜索过的的关键字，并根据这些信息弹出广告。

　　一、“乌鸦喝水4678”（JS.fullexploit.ca.4678）威胁级别：★★

　　此病毒利用网页挂马的方式进行传播，如果用户浏览被它挂马的网站，系统就会立即被感染。病毒进入用户系统后，会搜索百度搜霸工具条、超星阅读器、联众游戏、暴风影音、realplayer、迅雷等多种网络软件的进程，发现后对它们进行检查，看是否存在安全漏洞。如果有，病毒就会立即产生大量数据信息，制造溢出事件。

　　所谓“溢出”，指的水池里的水太多，漫了出来。计算机系统中有一个数据缓存区，它就好比于一个用来存储用户输入的数据的“水池”。这个“水池”的空间有限，如果输入的数据超过了缓冲区的长度，就会发生溢出，而这些溢出的数据会覆盖在其它的数据上。如果溢出的数据具有破坏性，就无疑会对其它数据造成破坏。

　　一旦此病毒脚本溢出成功，它就可以在用户无法察觉的情况下建立远程连接，从http://9*.*c/s.exe这个由木马种植者指定的地址下载大量其它木马程序，并立刻将它们激活运行，给用户系统造成无法估计的破坏。

　　在破坏用户系统的同时，病毒还会趁用户访问网络的时候，对用户浏览过的网站进行挂马传播，寻找下一个受害者。

　　二、“HotBar小广告634880”（Win32.Adware.HotBar.an.634880）威胁级别：★

　　此病毒为一款浏览器帮助插件的组成模块，该插件具有美化浏览器和提供天气预报等的功能，但由于利用此模块收集用户隐私及弹出商业广告，且无法删除，因此沦为“流氓广告”范畴。

　　该插件在系统中被安装后，会修改注册表，将自己注册为浏览器辅助插件，以便在系统启动后自动加载，同时修改IE浏览器的数据设置，让自己显示在IE的工具栏中。这些动作尚属辅助插件的正常行为，但当它在用户系统中站稳脚跟后，却会露出完全不同的嘴脸。

　　病毒在完全不告知用户的情况下，展开对IE浏览器的监视，窥探用户浏览过的所有链接，以及用户曾经搜索过的关键字。然后，它就悄悄把这些数据发送给http://www.ho**ar.com这个远程服务器。远程服务器收到数据后进行分析，并向用户电脑发出指令，修改显示在工具条中的按钮，同时弹出对应的广告网站，诱使用户点击，为这些网站赚取流量。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年1月1的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。