对利用LSASS漏洞进行传播的“板斧”病毒的简要概述

 

这种驻留内存的蠕虫病毒可以利用Windows的LSASS漏洞进行传播，该病毒会不断的转发邮件，还会修改系统的HOSTS文件，阻止用户访问某些网站。目前，趋势科技已经收到了来自美国、新加坡、爱尔兰、日本、秘鲁、澳大利亚和印度等地的病毒报告。

 

趋势科技全球防毒研发暨技术支持中心 TrendLabs 分析指出，板斧病毒由木马TROJ_SMALL.AHE下载到系统中，并使用自身的SMTP(Simple Mail Transfer Protocol)引擎将木马TROJ_SMALL.AHE作为附件发送邮件。木马与蠕虫的混合加大了病毒传播的机会和危害。该病毒还会修改系统的HOSTS文件，阻止用户访问某些网站。

 

病毒作者对病毒发出的邮件利用社会工程学进行设计。用户收到的病毒邮件的标题都是空白的，所发送的病毒附件会用“布什”、“玩笑”、“滑稽”或者“图片”等名字来吸引用户打开附件。

 

板斧病毒还会通过获取受感染系统的用户名并添加字符串@yahoo.com作为发件人。该病毒还会利用Windows 的LSASS漏洞进行传播。该漏洞属于缓冲区溢出漏洞，可以允许执行远程代码并使攻击者获取受感染系统的控制权。

 

趋势科技提醒广大计算机用户，如果不幸遇到这种病毒，请首先重启电脑并进入安全模式，然后通过使用趋势科技的防病毒产品扫描你的系统辨别病毒程序。由于该病毒会修改系统的注册表键，受该病毒感染的用户需要修改或删除这些注册表键。最后，从注册表中删除自动运行键，清除HOSTS文件中的病毒键来最后清除此病毒。需要提醒的是，针对运行Windows XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。另外，由于板斧病毒与木马TROJ_SMALL.AHE相关联，所以在清除板斧的同时，也应该检查受感染的系统是否感染了木马TROJ_SMALL.AHE。

 

该病毒利用Windows 系统中的已知漏洞。建议用户下载并安装由微软提供的修复补丁。在适当补丁发布之前，请克制使用该产品。