江民发布首例JPEG图像病毒分析报告及防毒疫苗

　　近日，江民反病毒中心检测到了首例利用MS04-28 JPEG文件漏洞的传播的病毒。病毒代码内嵌于一个JPEG图片文件中。系统存在MS04-028漏洞的用户如果预览或打开该图片，病毒代码就会自动执行，下载病毒程序，开设后门。

　　该病毒于2004年9月17日被江民科技反病毒中心发现。KV2004及最新发布的KV2005系列杀毒软件9月17日以后的病毒库都可对该恶意图片进行查杀。如果您的系统已经打过微软

低价swatch手表送给你 联想笔记本Y200热卖中 最大的2G免费邮箱！ 只要出价够狠IQ够高

的MS04-028安全补丁或安装过江民公司的“JPEG漏洞疫苗”，不会受此病毒的危害。

　　具体技术特征分析如下：

　　1.一旦用户感染该病毒，就会从被感染反向连接到某ftp站点，并从该ftp服务器上下载如下文件：

　　AdmDll.dll

　　Fport.exe

　　VNCHooks.dll

　　WinRun.dll

　　WinRun.exe

　　driver.log

　　drives.exe

　　execute.bat

　　filter3.ocx

　　irc-u.cfg

　　irc-u.dat

　　irc-u.debug.log

　　irc-u.dll

　　kill.exe

　　nc.exe

　　nvsvc.exe

　　nvsvc32.dll

　　omnithread_rt.dll

　　peek.exe

　　raddrv.dll

　　radmin.reg

　　rcrypt.exe

　　reg.exe

　　uptime.exe

　　vns.exe

　　2.执行上述文件中的execute.bat文件，完成添加r_server后门服务。

　　3.并按照如下配置安装一个IRC的客户端：

　　server1=irc.p2pchat.net

　　port1=7777

　　login=Darkbro0d

　　channel=#FurQ

　　password=letmein

　　nick1=Track100Mbit

　　nick2=Trck100#1

　　sfv=1

　　user=Trackmaster

　　login=darkbro0d

　　4.在被感染机器上生成c:\windows\system32\system\目录其中包含nvsvc.exe和 winrun.exe两个文件

　　江民公司提醒您，及时安装微软的安全补丁程序或江民Jpeg文件漏洞防毒“疫苗”，并立即安装升级KV2005病毒库，开启KV的实时监控功能，确保您的系统不被已知和未知的恶意JPEG图片侵害。

　　微软补丁下载：　www.microsoft.com/china/security/Bulletins/200409_jpeg.mspx

　　江民Jpeg文件漏洞防毒“疫苗”下载：update.jiangmin.com/download/KVPatch.exe