蠕虫冒充注册机偷取Firefox里的用户信息

近日，微软发布了预防远程桌面协议(Remote Desktop Protocol，RDP)中存在的一个严重漏洞的警告，并且在同一天的微软常规补丁发布中发布了补丁来修复此安全漏洞：Microsoft远程桌面协议CVE-2012-0002远程代码执行漏洞(BID 52353)。RDP侦听TCP端口，因此，此漏洞可远程触发且可能导致代码执行。经核实，利用此漏洞的模块已被公开，并且其他有效利用此漏洞的手法也在不断地被开发。黑客在利用此漏洞时采用的手法之一，是通过堆喷射(Heap Spray)从易受攻击的崩溃捕获程序流，以便执行他们所选的代码。这种方法导致了一些非常棘手的问题！

赛门铁克已经发布了IPS特征25610（攻击：Microsoft RDP CVE-2012-0002 3）来阻止黑客试图利用此漏洞。IPS将辅以传统的防病毒特征，来防止此类顽劣的漏洞利用找到进入任何恶意代码（例如蠕虫）的途径进行自我传播。目前，我们正在密切监视该趋势的进一步发展。

热点病毒

病毒名：W32.Tozap

病毒类型：蠕虫

受感染系统：Windows 95/98/Me/NT/2000/ XP/Vista/7

运行后，W32.Tozap会将自身拷贝至\Application Data\Microsoft\目录，并创建和执行文件Program.exeadobe-master-cs4-keygen..exe。该文件引用了用户耳熟能详的软件名字，以欺骗用户使其看起来像一个正常的注册机程序。此外，该蠕虫会设置注册表以达到开机自启动的目的。W32.Tozap会试图在受感染计算机中运行后门程序，从而偷取Firefox浏览器中储存的个人信息（只针对Firefox用户）、进行UDP洪泛攻击、从远处服务器下载和执行文件。目前已检测到的恶意远程控制命令中心服务器有ftp.dr[removed]hq.com和microsofts.z[removed]to.org。W32.Tozap主要通过可移动存储设备进行传播。它会拷贝自身到所有的移动存储器的盘符下，同时创建文件autorun.inf。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友