国内首例PPS木马病毒现身网络
专家提醒及时更新

http://www.dnwx.com 2006年8月23日 来源/作者：

　　国内首例“PPS木马”病毒现身网络。近日，反病毒中心监测到，上月中旬被曝光的微软PowerPoint 0day漏洞出现新攻击代码，该恶意代码伪装成幻灯片格式的PPS文件，用户点击运行后会释放出一个木马后门，黑客通过该后门可以远程控制染毒电脑。

　　据反病毒专家介绍，该恶意攻击代码伪装成msnus.pps文件，通过邮件附件进行传播，当用户点击打开该文件时，PowerPoint将会执行内嵌其中的shellcode，在Windows下的Temp文件夹释放并执行病毒文件csrse.exe。csrse.exe是个木马释放器，运行后会在Windows\Temp中释放出一个正常的pps文件msnsu.pps，并调用PowerPoint打开它，以此掩人耳目。在用户观看msnsu.pps文件的同时，csrse.exe释放出一个木马后门Backdoor/FireFly.e，病毒通过该后门和某台3322.org域名的机器进行通信。

　　7月中旬，PowerPoint 0day漏洞被首次发现后，该漏洞就成了黑客争相攻击的目标，由于距微软每月例行安全更新还有一个月的时间，黑客抓住这段“真空期”发布恶意攻击代码，给电脑用户带来了巨大安全隐患。7月19日，反病毒中心就已经监测到攻击该漏洞的PPT文件，该恶意PPT文档伪装成一组“老外拍摄的上海照片”通过邮件传播，一旦打开此文档，内嵌其中的恶意代码会下载并运行后门程序，进而完全控制用户计算机，而此次截获的伪装成PPS格式的恶意文件则是首次发现。

　　反病毒专家提醒用户，8月8日晚些时候微软可能会在例行更新中发布针对上述漏洞的补丁程序，他希望国内用户及时下载更新，以免遭病毒和黑客攻击。此外，针对“PPS木马”和“PPT恶意文件”，用户则需将杀毒软件升级到最新病毒库即可有效防杀“PPS木马”和“PPT恶意文件”等病毒，确保用户电脑使用安全。

　　（注：“PPS”和“PPT”都是微软OFFICE办公软件PowerPoint幻灯片的一种格式）