我在这里: 首页 » 技术杂烩 » 浏览文章: 警惕假冒破解微软正版验证补丁的病毒程序正在传播
« 服务器体验(下)2.43fs爆急中等级 »

警惕假冒破解微软正版验证补丁的病毒程序正在传播

我要发表评论 2008-10-21 5:15:22
引用

    自2008年10月20日起,微软将通过“自动更新”(简称AU)向安装简体中文语言的Windows XP专业版的用户发送新一轮的Windows正版增值计划通知(简称“WGA通知”)程序;同期,微软将通过“自动更新”(简称AU)向安装简体中文语言的Office XP, Office2003和Office2007的用户首次发送Office正版增值计划通知(简称“OGA通知”)程序。
微软一直以来承诺通过教育、技术和执法等手段保护其用户和合作伙伴免受假冒软件的侵害。作为该计划的一部分,自2008年10月20日起,微软中国将同时推出两个重要更新——WGA通知和OGA通知,保护用户免受盗版所带来的危害。
上面一段申明摘自微软的windows和office正版增值计划通知,这就是被大家抄得沸沸扬扬的微软“黑屏”事件。


    这个消息一传开,网上被称为黑客的人就迅速出了“破解微软正版验证补丁”,同时也有人有用病毒假冒破解微软黑屏验证的补丁程序进行传播。
    金山毒霸反病毒小组昨天已经发现类似假冒破解微软黑屏验证补丁程序进行快速的传播。

下图是一个看似正常的正版验证补丁。
点击在新窗口中浏览此图片


运行后,在临时文件释放winrar.exe文件和主文件。
点击在新窗口中浏览此图片

分析一下winrar.exe,发现有木马下载器的特征
点击在新窗口中浏览此图片

将winrar.exe这文件上传VirSCAN.org进行了查杀比较,显然此木马做了免杀。
引用

VirSCAN.org Scanned Report :
Scanned time   : 2008/10/20 18:04:30 (CST)
Scanner results: 15%的杀软(6/39)报告发现病毒
File Name      : winrar.exe
File Size      : 2048 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 3cb85360a4b02f6f4f9a5015ed024e2c
SHA1           : 43152a09c8fb435a71649ba33142cf5c49333bf2
Online report  : http://virscan.org/report/0889a8ca3f335e99b1d87f59e20382ab.html

Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result

AntiVir        7.9.0.5         7.0.7.62          2008-10-20  2.41   TR/ATRAPS.Gen
AVG            7.5.52.442      270.8.1/1733      2008-10-19  1.69   Downloader.Generic7.BBFA
BitDefender    7.60825.1925596 7.21359           2008-10-20  3.20   Generic.Malware.dld!!.190A76E7
Dr.Web         4.44.0.9170     2008.10.20        2008-10-20  3.34   DLOADER.Trojan
飞塔           2.81-3.113      9.655             2008-10-20  0.18   Suspicious
金山毒霸       2008.9.8.18     2008.10.20.17     2008-10-20  0.87   Win32.Troj.Downloader.dr.2048

点击进入更详细内容


风险分析
微软“黑屏”验证的更新,是微软通过正常的补丁更新发布的全新正版验证策略,微软希望通过采用让用户桌面背景变黑这种显著的方式告知用户正在使用盗版的微软软件。

而用户不会立即将盗版的windows xp更换为正版Windows XP,在这种情况下,如果某些工具软件可以帮助用户对抗微软的这种对抗行为,这种工具就可能会被用户追捧,因为时间点在10月20日之后集中出现,为木马传播制造了非常难得的机遇。

我们估计:
类似的,以破解Windows XP黑屏为目的的各种小程序会如雨后春笋一般出现,而任何一家商业公司都不可能发布这样的破解程序。而采用盗版XP的用户,又对破解黑屏有强烈的使用需求。未来一段时间以内,各种打着能破解Windows XP黑屏验证的幌子进行传播的病毒木马会异常活跃。

我们的建议:
1.建议使用正版软件,正版的可靠品质和服务,可以保护用户的利益。
2.建议计算机用户在运行此类破解补丁程序之前,使用反病毒软件对程序进行检查。
3.最好先看看其它网友运行此类工具的经验,比如百度搜索一下这个工具,看看是不是有人上当受害。最好在你经常去的安全可靠的论坛上寻找其它网友采用过的类似工具,而不要盲目测试类似的其它工具。
4.部分网友推荐关闭windows自动更新不是可取的办法,关闭windows自动更新会带来更大的风险(系统的漏洞会更多,并且不会及时被修补)
5.可以使用金山毒霸或者毒霸清理专家来进行漏洞修复(不含正版验证补丁),及时保证您的系统安全性。


转载请保留本文链接地址:[http://www.oodd.net/post/344.html]
Tags: 微软  黑屏  
发布:ooDD| 分类:技术杂烩| 评论:0| 引用:0| 浏览:
  • ......
  • 相关文章

  • IE9.0支持圆角css  (2010-1-20 0:49:4)

发表评论

自动过滤提交过程需时,请耐心等待提交完成后再关闭窗口。

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright 牛牛DD http://www.oodd.net/ | 粤ICP备12057830号-1 |   | . | SiteMap |
||ooDD.net | Powered By Z-Blog | |