具体现象:弹出流氓恶意网页;致使Office办公系统打开时出现VBE6.DLL发生错误的讯息,以致需要VBE6.DLL库支持的程序都不能启动。此流氓具有高危险特性,可执行远程攻击代码,微软定义为高危漏洞,建议大家务必进行安全更新。 VBE9a.DLL Version Information ==================== Operating System : 32-bit Windows File Type : Dynamic-Link Library File Sub-Type : Unknown File Version : 1,0,0,1 Product Version : 1,0,0,1 ============================================================ Product Name : QQ_bho_v5 Module File Description : QQ_bho_v5 Module File Version : 1, 0, 0, 1 Product Version : 1, 0, 0, 1 Company Name : Internal Name : QQ_bho_v5 Legal Copyright : Copyright 2006 Original FileName : QQ_bho_v5.DLL SIZE : 77312 bytes SHA-160 : A94B4B4CD74C672012625CAAF9C6DE6CF6771925 MD5 : 7106461F8D2EC13A8C8DC8C8620E1B37 CRC-32 : BCC462D5 加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo 实际是UPX2.90 编写语言:Microsoft Visual C++ 5.0 传播方式:恶意网页 创建生成: c:\windows\system32\MSHFLXGF.SRG C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE6b.DLL VBE6b.DLL这个会替换系统正常的文件VBE6.DLL-->2,482,176 字节并注册为: regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE6.DLL" regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE7.DLL" regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE8.DLL" 127.0.0.1禁止访问如下域名(当前样本DLL具有的,其他版本不一定一样) .aimv.net .fjmv.cn .tstar.cn .oyksoft.com .ads8.com .51link.com .001122.com union.mop.com .ads668.com code.qihoo.com .ete.cn .is686.com .hotadv.com kisswin.com .eqifa.com pluslink.cn www.779.net .536.net [HKEY_CLASSES_ROOT\QQ_bho_v5.QQMain.1] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC052519-19EC-4D95-A811-AA49A4DA1FA8} PS:样本留有字符liusujian 类似版本有 VBE6.DLL VBE6a.DLL VBE7.DLL VBE8.DLL VBE9a.DLL [QQMain Class] {DC052519-19EC-4D95-A811-AA49A4DA1FA8} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE9a.DLL, N/A> {2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE8.DLL, N/A> {2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE7.DLL, N/A> 去我的网盘http://kvirus.ys168.com下载正常的系统文件VBE6.DLL:XP系统重要文件--->VBE6.DLL 大小为2,482,176 字节 分析后建议看微软安全漏洞说明 http://www.microsoft.com/china/technet/security/bulletin/ms06-047.mspx Microsoft 安全公告 MS06-047 Microsoft Visual Basic for Applications 中的漏洞可能允许远程执行代码 (921645) 发布日期: 八月 8, 2006 | 更新日期: 八月 15, 2006 版本: 1.1 摘要 本文的目标读者: 使用 Microsoft Office 应用程序的客户或使用 Microsoft Visual Basic for Applications 的应用程序。 漏洞的影响: 远程执行代码 最高严重等级: 严重 建议: 客户应立即应用此更新 安全更新替代: 此公告替代以前的安全更新。 有关完整列表,请参阅本公告的“常见问题解答 (FAQ)”部分。 注意事项: 无 经过测试的软件和安全更新下载位置: 受影响的软件: • Microsoft Office 2000 Service Pack 3 – 下载此更新 (KB920822) • Microsoft Project 2000 Service Release 1 - 下载此更新 (KB920822) • Microsoft Access 2000 Runtime Service Pack 3 – 下载此更新 (KB920822) • Microsoft Office XP Service Pack 3 – 下载此更新 (KB920821) • Microsoft Project 2002 Service Pack 1 – 下载此更新 (KB920821) • Microsoft Visio 2002 Service Pack 2 – 下载此更新 (KB920821) • Microsoft Works Suites: • Microsoft Works Suite 2004 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新) • Microsoft Works Suite 2005 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新) • Microsoft Works Suite 2006 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新) • Microsoft Visual Basic for Applications SDK 6.0 - 下载此更新 (KB923167) • Microsoft Visual Basic for Applications SDK 6.2 - 下载此更新 (KB923167) • Microsoft Visual Basic for Applications SDK 6.3 - 下载此更新 (KB923167) • Microsoft Visual Basic for Applications SDK 6.4 - 下载此更新 (KB923167) 不受影响的软件: • Microsoft Office 2003 Service Pack 1 和 Microsoft Office 2003 Service Pack 2 |