本文出自我的博客:
http://hi.baidu.com/killvir/blog/item/c0d30208b3c491d162d986be.html高威流氓(病毒)警告:VBE6.DLL & VBE7.DLL & VBE8.DLL & VBE9.DLL会致使Office办公系统发生出错
2007-01-18 17:42
具体现象:弹出流氓恶意网页;致使Office办公系统打开时出现VBE6.DLL发生错误的讯息,以致需要VBE6.DLL库支持的程序都不能启动。此流氓具有高危险特性,可执行远程攻击代码,微软定义为高危漏洞,建议大家务必进行安全更新。 VBE9a.DLL
Version Information
====================
Operating System : 32-bit Windows
File Type : Dynamic-Link Library
File Sub-Type : Unknown
File Version : 1,0,0,1
Product Version : 1,0,0,1
============================================================
Product Name : QQ_bho_v5 Module
File Description : QQ_bho_v5 Module
File Version : 1, 0, 0, 1
Product Version : 1, 0, 0, 1
Company Name :
Internal Name : QQ_bho_v5
Legal Copyright : Copyright 2006
Original FileName : QQ_bho_v5.DLL
SIZE : 77312 bytes
SHA-160 : A94B4B4CD74C672012625CAAF9C6DE6CF6771925
MD5 : 7106461F8D2EC13A8C8DC8C8620E1B37
CRC-32 : BCC462D5
加壳方式:UPX 0.80 - 1.24 DLL -> Markus & Laszlo 实际是UPX2.90
编写语言:Microsoft Visual C++ 5.0
传播方式:恶意网页
创建生成:
c:\windows\system32\MSHFLXGF.SRG
C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE6b.DLL
VBE6b.DLL这个会替换系统正常的文件VBE6.DLL-->2,482,176 字节并注册为:
regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE6.DLL"
regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE7.DLL"
regsvr32 /s /u "C:\Program Files\Common Files\Microsoft Shared\VBA\VBA6\VBE8.DLL"
127.0.0.1禁止访问如下域名(当前样本DLL具有的,其他版本不一定一样)
.aimv.net
.fjmv.cn
.tstar.cn
.oyksoft.com
.ads8.com
.51link.com
.001122.com
union.mop.com
.ads668.com
code.qihoo.com
.ete.cn
.is686.com
.hotadv.com
kisswin.com
.eqifa.com
pluslink.cn
www.779.net
.536.net
[HKEY_CLASSES_ROOT\QQ_bho_v5.QQMain.1]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{DC052519-19EC-4D95-A811-AA49A4DA1FA8}
PS:样本留有字符liusujian
类似版本有
VBE6.DLL
VBE6a.DLL
VBE7.DLL
VBE8.DLL
VBE9a.DLL
[QQMain Class]
{DC052519-19EC-4D95-A811-AA49A4DA1FA8} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE9a.DLL, N/A>
{2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE8.DLL, N/A>
{2731A491-B72F-4B1B-9543-0EE74BAE2C22} <C:\PROGRA~1\COMMON~1\MICROS~1\VBA\VBA6\VBE7.DLL, N/A>
去我的网盘http://kvirus.ys168.com下载正常的系统文件VBE6.DLL:XP系统重要文件--->VBE6.DLL 大小为2,482,176 字节分析后建议看微软安全漏洞说明
http://www.microsoft.com/china/technet/security/bulletin/ms06-047.mspxMicrosoft 安全公告 MS06-047Microsoft Visual Basic for Applications 中的漏洞可能允许远程执行代码 (921645)
发布日期: 八月 8, 2006 | 更新日期: 八月 15, 2006
版本: 1.1
摘要
本文的目标读者: 使用 Microsoft Office 应用程序的客户或使用 Microsoft Visual Basic for Applications 的应用程序。
漏洞的影响: 远程执行代码
最高严重等级: 严重
建议: 客户应立即应用此更新
安全更新替代: 此公告替代以前的安全更新。 有关完整列表,请参阅本公告的“常见问题解答 (FAQ)”部分。
注意事项: 无
经过测试的软件和安全更新下载位置:
受影响的软件:
• Microsoft Office 2000 Service Pack 3 – 下载此更新 (KB920822)
• Microsoft Project 2000 Service Release 1 - 下载此更新 (KB920822)
• Microsoft Access 2000 Runtime Service Pack 3 – 下载此更新 (KB920822)
• Microsoft Office XP Service Pack 3 – 下载此更新 (KB920821)
• Microsoft Project 2002 Service Pack 1 – 下载此更新 (KB920821)
• Microsoft Visio 2002 Service Pack 2 – 下载此更新 (KB920821)
• Microsoft Works Suites:
• Microsoft Works Suite 2004 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新)
• Microsoft Works Suite 2005 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新)
• Microsoft Works Suite 2006 - 下载此更新 (KB920821)(等同于 Microsoft Office XP 更新)
• Microsoft Visual Basic for Applications SDK 6.0 - 下载此更新 (KB923167)
• Microsoft Visual Basic for Applications SDK 6.2 - 下载此更新 (KB923167)
• Microsoft Visual Basic for Applications SDK 6.3 - 下载此更新 (KB923167)
• Microsoft Visual Basic for Applications SDK 6.4 - 下载此更新 (KB923167)
不受影响的软件:
• Microsoft Office 2003 Service Pack 1 和 Microsoft Office 2003 Service Pack 2
本文出自我的博客:
