当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
VBE6.DLL&VBE7.DLL&VBE8.DLL&VBE9.DLL流氓病毒致使Office办公系统发生出错 | |||
2007-1-19 10:31:25 文/艾玛 出处:艾玛博客 | |||
VBE9a.DLL Version Information ==================== Operating System : 32-bit Windows File Type : Dynamic-Link Library File Sub-Type : Unknown File Version : 1,0,0,1 Product Version : 1,0,0,1 ============================================================ Product Name : QQ_bho_v5 Module File Description : QQ_bho_v5 Module File Version : 1, 0, 0, 1 Product Version : 1, 0, 0, 1 Company Name : Internal Name : QQ_bho_v5 Legal Copyright : Copyright 2006 Original FileName : QQ_bho_v5.DLL SIZE : 77312 bytes SHA-160 : A94B4B4CD74C672012625CAAF9C6DE6CF6771925 MD5 : 7106461F8D2EC13A8C8DC8C8620E1B37 CRC-32 : BCC462D5 加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo 实际是UPX2.90 编写语言:Microsoft Visual C++ 5.0 传播方式:恶意网页 创建生成: c:\windows\system32\MSHFLXGF.SRG C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE6b.DLL VBE6b.DLL这个会替换系统正常的文件VBE6.DLL-->2,482,176 字节并注册为: regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE6.DLL" regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE7.DLL" regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE8.DLL" 127.0.0.1禁止访问如下域名(当前样本DLL具有的,其他版本不一定一样) .aimv.net .fjmv.cn .tstar.cn .oyksoft.com .ads8.com .51link.com .001122.com union.mop.com .ads668.com code.qihoo.com .ete.cn .is686.com .hotadv.com kisswin.com .eqifa.com pluslink.cn www.779.net .536.net [HKEY_CLASSES_ROOT\QQ_bho_v5.QQMain.1] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC052519-19EC-4D95-A811-AA49A4DA1FA8} PS:样本留有字符liusujian 类似版本有 VBE6.DLL VBE6a.DLL VBE7.DLL VBE8.DLL VBE9a.DLL [QQMain Class] {DC052519-19EC-4D95-A811-AA49A4DA1FA8} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE9a.DLL, N/A> {2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE8.DLL, N/A> {2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE7.DLL, N/A> 去我的网盘http://kvirus.ys168.com下载正常的系统文件VBE6.DLL:XP系统重要文件--->VBE6.DLL 大小为2,482,176 字节 分析后建议看微软安全漏洞说明 http://www.microsoft.com/china/technet/security/bulletin/ms06-047.mspx Microsoft 安全公告 MS06-047 Microsoft Visual Basic for Applications 中的漏洞可能允许远程执行代码 (921645) 发布日期: 八月 8, 2006 | 更新日期: 八月 15, 2006 版本: 1.1 摘要 本文的目标读者: 使用 Microsoft Office 应用程序的客户或使用 Microsoft Visual Basic for Applications 的应用程序。 漏洞的影响: 远程执行代码 最高严重等级: 严重 建议: 客户应立即应用此更新 安全更新替代: 此公告替代以前的安全更新。 有关完整列表,请参阅本公告的“常见问题解答 (FAQ)”部分。 注意事项: 无 经过测试的软件和安全更新下载位置: 受影响的软件: • Microsoft Office 2000 Service Pack 3 – 下载此更新 (KB920822) • Microsoft Project 2000 Service Release 1 - 下载此更新 (KB920822) • Microsoft Access 2000 Runtime Service Pack 3 – 下载此更新 (KB920822) • Microsoft Office XP Service Pack 3 – 下载此更新 (KB920821) • Microsoft Project 2002 Service Pack 1 – 下载此更新 (KB920821) • Microsoft Visio 2002 Service Pack 2 – 下载此更新 (KB920821) • Microsoft Works Suites: • Microsoft Works Suite 2004 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新) • Microsoft Works Suite 2005 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新) • Microsoft Works Suite 2006 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新) • Microsoft Visual Basic for Applications SDK 6.0 - 下载此更新 (KB923167) • Microsoft Visual Basic for Applications SDK 6.2 - 下载此更新 (KB923167) • Microsoft Visual Basic for Applications SDK 6.3 - 下载此更新 (KB923167) • Microsoft Visual Basic for Applications SDK 6.4 - 下载此更新 (KB923167) 不受影响的软件: • Microsoft Office 2003 Service Pack 1 和 Microsoft Office 2003 Service Pack 2 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |