特征描述：

Exploit.IMG-WMF.xl"IMG-WMF漏洞利用者"變種xl是"IMG-WMF漏洞利用者"家族中的最新成員之一，采用"Microsoft Visual C++ 6.0"編寫(xiě)，經(jīng)過(guò)加殼保護(hù)處理。"IMG-WMF漏洞利用者"變種xl運(yùn)行后，會(huì)在被感染系統(tǒng)的臨時(shí)文件夾下釋放惡意程序"svchost.exe"，還會(huì)在"%SystemRoot%system32drivers"文件夾下釋放兩次同名但不同功能的惡意驅(qū)動(dòng)程序"beep.sys"（會(huì)覆蓋系統(tǒng)的同名文件），同時(shí)修改這些文件的時(shí)間屬性，以此迷惑用戶(hù)。其第一次釋放的惡意驅(qū)動(dòng)程序會(huì)關(guān)閉安全軟件的自我保護(hù)，然后嘗試結(jié)束大量指定的安全軟件進(jìn)程。利用映像文件劫持干擾安全軟件的正常啟動(dòng)，監(jiān)視系統(tǒng)中存在的窗口標(biāo)題，如果發(fā)現(xiàn)窗口中存在特定的字符串（如"殺毒"、"木馬"、"防御"等）便會(huì)將該窗口關(guān)閉。還會(huì)刪除相關(guān)的注冊(cè)表項(xiàng)，致使用戶(hù)無(wú)法進(jìn)入"安全模式"。"IMG-WMF漏洞利用者"變種xl第二次釋放的惡意驅(qū)動(dòng)程序會(huì)穿透部分文件系統(tǒng)還原軟件的保護(hù)，并用"IMG-WMF漏洞利用者"變種xl替換系統(tǒng)文件"userinit.exe"。"IMG-WMF漏洞利用者"變種xl會(huì)利用釋放的惡意程序"svchost.exe"對(duì)同網(wǎng)段的計(jì)算機(jī)進(jìn)行溢出攻擊。如果被攻擊的系統(tǒng)未安裝"MS08-067"補(bǔ)丁，則會(huì)被該病毒所感染。"IMG-WMF漏洞利用者"變種xl會(huì)感染除"A:"和"C:"分區(qū)外的所有"tar"、"cab"、"tgz"、"zip"和"rar"文件，并將名為"綠化.bat"的自身副本插入到這些文件中。"IMG-WMF漏洞利用者"變種xl還會(huì)將"URLmon.DLL"復(fù)制到臨時(shí)文件夾下并重命名為"urlm0n.dll"，以供自身調(diào)用。其會(huì)連接駭客指定的URL"http://mmc.vyd*.com/ssave.txt"，然后根據(jù)該文件中的下載地址列表下載大量的惡意程序，致使用戶(hù)遭受更大程度的損失。

英文名稱(chēng)：Trojan/StartPage.czn
中文名稱(chēng)："初始頁(yè)"變種czn
病毒長(zhǎng)度：288256字節(jié)
病毒類(lèi)型：木馬
危險(xiǎn)級(jí)別：★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：3310625f728e4744e6f19e7a43efdd1d

特征描述：

Trojan/StartPage.czn"初始頁(yè)"變種czn是"初始頁(yè)"家族中的最新成員之一，采用"Borland C++"編寫(xiě)，經(jīng)過(guò)加殼保護(hù)處理。"初始頁(yè)"變種czn運(yùn)行后，會(huì)向系統(tǒng)桌面、快速啟動(dòng)欄、IE收藏夾等位置添加IE快捷方式，這些快捷方式均指向駭客指定的頁(yè)面"http://www.114*.com.cn/lindex.html"。同時(shí)，"初始頁(yè)"變種czn還會(huì)修改"傲游"、"騰訊TT"、"Firefox"等瀏覽器的快捷方式，使得這些瀏覽器在啟動(dòng)時(shí)也會(huì)自動(dòng)訪問(wèn)該頁(yè)面，從而給駭客帶來(lái)了非法的經(jīng)濟(jì)利益。最后，"初始頁(yè)"變種czn會(huì)訪問(wèn)指定頁(yè)面"http://121.52.*.85/ClientInfo.aspx"進(jìn)行推廣數(shù)量的統(tǒng)計(jì)。

針對(duì)以上病毒，江民反病毒中心建議廣大電腦用戶(hù)：

1、請(qǐng)將江民殺毒軟件升級(jí)至最新版本，并且進(jìn)行全盤(pán)掃描。江民殺毒軟件增強(qiáng)了虛擬機(jī)脫殼與啟發(fā)式掃描技術(shù)，能夠更加輕松地識(shí)別各種加殼、家族變種病毒，使病毒無(wú)所遁
形。同時(shí)應(yīng)用指紋加速、超線程掃描等高速掃描技術(shù)，更好更快地保護(hù)您的信息安全。

2、江民網(wǎng)絡(luò)版的用戶(hù)請(qǐng)及時(shí)升級(jí)控制中心和所有客戶(hù)端，并且進(jìn)行全網(wǎng)的病毒查殺，最大程度地保障企業(yè)的信息安全。

3、開(kāi)啟江民殺毒軟件的主動(dòng)防御功能。該功能采用智能沙盒技術(shù)，不僅可以更加準(zhǔn)確地判別程序行為，還可迅速恢復(fù)病毒對(duì)系統(tǒng)造成的破壞與修改，令您輕松擺脫病毒的困擾
。

4、江民殺毒軟件擁有強(qiáng)大的自我保護(hù)功能，能夠有效避免病毒的肆意破壞和干擾運(yùn)行，為自身和系統(tǒng)同時(shí)加上了"金鐘罩"般的強(qiáng)力保護(hù)。

5、開(kāi)啟江民殺毒軟件的網(wǎng)頁(yè)數(shù)據(jù)流監(jiān)控功能。該功能可以更好地防御各種形式的網(wǎng)頁(yè)病毒，為您的網(wǎng)上沖浪撐起保護(hù)傘。

6、開(kāi)啟江民殺毒軟件的BootScan功能，在系統(tǒng)登陸前進(jìn)行病毒查殺，清除頑固病毒更加方便、徹底。

7、建議使用安全專(zhuān)家內(nèi)置的RootKit掃描功能。該功能可以對(duì)惡意程序深度隱藏的項(xiàng)目進(jìn)行檢測(cè)和清除，使惡意程序無(wú)處藏身。

8、建議使用安全專(zhuān)家內(nèi)置的漏洞掃描功能。該功能掃描系統(tǒng)漏洞更加全面、準(zhǔn)確，修復(fù)速度更加快捷。同時(shí)新增常見(jiàn)第三方軟件漏洞掃描功能，使防護(hù)更全面，保護(hù)更徹底，
不給病毒利用漏洞進(jìn)行傳播的機(jī)會(huì)。

9、如果您尚未安裝江民殺毒軟件，推薦您使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址：http://online.jiangmin.com/

有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢(xún)，或訪問(wèn)江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。

zhabin