截獲到幾封帶有惡意Excel文檔附件的郵件。該惡意Excel文檔利用的是Microsoft未修補的Excel漏洞,所以危害極高。超級巡警團隊建議用戶不要隨便打開不明來歷的電子郵件,尤其是郵件附件。
所截獲的郵件中Excel文檔的附件名為「通知.xls」,大小為172K。該漏洞目前微軟官方尚無補丁,樣本文件中內置了黑客的後門程序,在打開Excel文檔時,木馬將被激活。
漏洞解碼截圖:
當惡意文檔被打開後會釋放一個文件名為2008.exe的後門程序並運行。該後門程序病毒名為BackDoor.W32.Hupigon.jy,開發工具為Microsoft Visual C++ 6.0,未加殼,大小78.8K。後門程序運行後會有以下行為:
1、釋放以下文件:
%System%\localpsrv.tbl
%System%\localpst.dll
%System%\drivers\localpsrv.sys
%System%\localpsrv.dat
2、將%System%\localpst.dll註冊為一個名為LocalPassSvcs的服務來隨系統啟動。
3、插入到svchost.exe進程中,連接域名xpupdate.3322.org,並接受控制。
全站熱搜
留言列表