假“联想”网站诱人中毒毫无知觉便被感染 - 达人(man)

2004/07/23 | 假“联想”网站诱人中毒毫无知觉便被感染
类别(技术) | 评论(0) | 阅读(39) | 发表于 02:27: 假“联想”网站诱人中毒毫无知觉便被感染
2004年7月21日
　　昨天，一个最新出现的恶意网站伪装成联想主页，通过恶意脚本程序，利用多种IE漏洞种植木马病毒，并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息，诱使更多用户访问该网站时造成感染。该恶意网站的域名看起来竟然与联想官方网站没有任何差别。

　　反病毒专家分析，进入该网站(http://www.1enovo.com)后，首先生成一个弹出窗口，上面显示“联想集团与腾讯公司暑期联合大行动……免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时，恶意网站主页面在后台企图通过“Shell.Application”、“Mht重定向”、“OBJECTCODEBASE”等多种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay)，并在2秒钟后自动转向到联想主页。普通用户根本毫无知觉，就已经被病毒感染。

　　病毒程序执行后，将下载该网站上另一个木马bbs5.exe。它是由“密码张”木马和QQ尾巴木马捆绑而成的。bbs5.exe一旦被成功下载到用户本地磁盘并得以运行，用户系统将同时感染上述两种木马病毒。中毒后，用户的传奇账号、密码和游戏装备将面临被“密码张”木马窃取的危险。通过QQ聊天时，还会自动发送包含恶意网址的消息。

　　反病毒专家分析后认为，奥妙在lenovo第一个字母上，联想网站网址的第一个字母为英文字母L的小写“l”，而恶意网站网址“1enovo”第一个字符是数字“1”，这两个字符看起来并无两样。广大用户在收到类似消息时，千万不要点击上面的网址，以免中毒。鉴于恶意脚本利用了尚无任何微软补丁的“Shell.Application”漏洞，建议电脑用户立即下载并导入注册表文件：http://www.jiangmin.com/download/KVFixShellApplication.reg。; 0

http://man.5d.cn/

评论Comments