网易科技讯 2006年3月7日,江民公司反病毒中心监测到,国内著名的专业学术图书销售网站--蔚蓝网络书店主页引用恶意网页代码,如果没有及时安装微软的安全补丁,即使是Windows XP SP2用户也会感染病毒Trojan/Agent.qy。此病毒运行后,会以隐藏方式启动IE浏览器,访问多个色情网站,用以提高这些色情网站的点击量。安装过微软补丁MS05-001的用户不会受到恶意代码的影响。
江民反病毒专家介绍,蔚蓝网络书店主页(http://www.welan.com)引用了恶意脚本http://www.pic**.net/rse.js,后者继续引用恶意网页http://www.pic**.net/mp3.htm,
mp3.htm网页利用IE浏览器HHCTRL跨安全区脚本执行漏洞,自动下载并运行病毒可执行程序http://www.pic**.net/blue.wma。
病毒程序blue.wma(Trojan/Agent.qy)运行后,将创建下列文件:
%SystemDir%\ydsvqjbi.dll, 11872字节
%SystemDir%\ydsvqjbi.exe, 25107字节
在注册表中添加下列启动项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"ydsvqjbi" = %SystemDir%\ydsvqjbi.exe
这样,在Windows启动时,病毒就可以自动执行。
病毒文件ydsvqjbi.exe将模块ydsvqjbi.dll注入到Explorer.exe进程,ydsvqjbi.dll会在后台隐藏方式启动IE浏览器,访问下列网址:
http://www.**un.net
http://www.**un.net/s1.asp
http://www.**un.net/s2.asp
http://www.**ose.net/index.asp
http://www.**sao.cn/index.asp