|
昨天,一个最新出现的恶意网站伪装成联想主页,通过恶意脚本程序,利用多种IE漏洞种植木马病毒,并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,诱使更多用户访问该网站时造成感染。该恶意网站的域名看起来竟然与联想官方网站没有任何差别。
反病毒专家分析,进入该网站(http://www.1enovo.com)后,首先生成一个弹出窗口,上面显示“联想集团与腾讯公司暑期联合大行动……免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站主页面在后台企图通过“Shell.Application”、“Mht重定向”、“OBJECTCODEBASE”等多种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay),并在2秒钟后自动转向到联想主页。普通用户根本毫无知觉,就已经被病毒感染。
病毒程序执行后,将下载该网站上另一个木马bbs5.exe。它是由“密码张”木马和QQ尾巴木马捆绑而成的。bbs5.exe一旦被成功下载到用户本地磁盘并得以运行,用户系统将同时感染上述两种木马病毒。中毒后,用户的传奇账号、密码和游戏装备将面临被“密码张”木马窃取的危险。通过QQ聊天时,还会自动发送包含恶意网址的消息。
反病毒专家分析后认为,奥妙在lenovo第一个字母上,联想网站网址的第一个字母为英文字母L的小写“l”,而恶意网站网址“1enovo”第一个字符是数字“1”,这两个字符看起来并无两样。广大用户在收到类似消息时,千万不要点击上面的网址,以免中毒。鉴于恶意脚本利用了尚无任何微软补丁的“Shell.Application”漏洞,建议电脑用户立即下载并导入注册表文件:http://www.jiangmin.com/download/KVFixShellApplication.reg。
| 
