近日,江民反病毒中心检测到了首例利用MS04-28 JPEG文件漏洞的传播的病毒。病毒代码内嵌于一个JPEG图片文件中。系统存在MS04-028漏洞的用户如果预览或打开该图片,病毒代码就会自动执行,下载病毒程序,开设后门。

  该病毒于2004年9月17日被江民科技反病毒中心发现。KV2004及最新发布的KV2005系列杀毒软件9月17日以后的病毒库都可对该恶意图片进行查杀。如果您的系统已经打过微软的MS04-028安全补丁或安装过江民公司的“JPEG漏洞疫苗”,不会受此病毒的危害。

  具体技术特征分析如下:
  1.一旦用户感染该病毒,就会从被感染反向连接到某ftp站点,并从该ftp服务器上下载如下文件:
  AdmDll.dll
  Fport.exe
  VNCHooks.dll
  WinRun.dll
  WinRun.exe
  driver.log
  drives.exe
  execute.bat
  filter3.ocx
  irc-u.cfg
  irc-u.dat
  irc-u.debug.log
  irc-u.dll
  kill.exe
  nc.exe
  nvsvc.exe
  nvsvc32.dll
  omnithread_rt.dll
  peek.exe
  raddrv.dll
  radmin.reg
  rcrypt.exe
  reg.exe
  uptime.exe
  vns.exe

  2.执行上述文件中的execute.bat文件,完成添加r_server后门服务。

  3.并按照如下配置安装一个IRC的客户端:
  server1=irc.p2pchat.net
  port1=7777
  login=Darkbro0d
  channel=#FurQ
  password=letmein
  nick1=Track100Mbit
  nick2=Trck100#1
  sfv=1
  user=Trackmaster
  login=darkbro0d

  4.在被感染机器上生成c:\windows\system32\system\目录其中包含nvsvc.exe和 winrun.exe两个文件

  江民公司提醒您,及时安装微软的安全补丁程序或江民Jpeg文件漏洞防毒“疫苗”,并立即安装升级KV2005病毒库,开启KV的实时监控功能,确保您的系统不被已知和未知的恶意JPEG图片侵害。

  微软补丁下载: http://www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx

  江民Jpeg文件漏洞防毒“疫苗”下载:http://update.jiangmin.com/download/KVPatch.exe