TA的每日心情 | 奋斗 昨天 10:07 |
---|
签到天数: 2385 天 [LV.Master]伴坛终老
|
www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技 ! d. z. S& m% p. I+ A1 F
4 l4 U# ~) a! @! t4 t
3 E4 X d o4 y1 p, A! h% x
" E1 S$ y. b S+ j: J
5 b1 g4 @8 J U' M
' W, u, h, U( j Z N9 ] 5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。/ \" p" J4 o7 Y: A, E
' ~& M7 N) R, w+ M$ c; Y( K 江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
! I% K: R6 \+ Z7 f(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。; B l7 Z! G/ C" |
(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
6 \' F3 Y5 r: O6 wWINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.: J8 Y% P- h2 z, r
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.! m9 c/ L6 x9 Z7 I: C) {; t
% d% F5 o% z1 b$ v
. e F' }; G. S! {
该病毒具体特征如下:& w8 q# q# e5 n3 C# G
$ |. x' h) g9 @(1)文件特征:, g' O) e& q* Z% W, _0 a
msiwin84.exe
2 z# o6 Y* z) m* v1 o/ K& S7 k修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.9 P6 G3 V* V% y
3 H% E% w0 Y8 l: s
(2)注册表特征:# Q3 U; s9 B) Z( o3 V w
修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
( J* H) |1 |4 `( a b) u( d! H1 a! _HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run7 Q4 }+ x# f% G/ `& q& A. V0 G2 J
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
* f9 n1 ?2 ? c6 ?4 L8 H: R: ?! D# q6 s" j
(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
2 F# w! G/ b; `& D5 r127.0.0.1 www.symantec.com$ f7 u2 J& e2 a+ R% C1 @6 f: [
127.0.0.1 securityresponse.symantec.com' D; B. p. ? B. C5 {" u5 U
127.0.0.1 symantec.com
. T( N. z1 T6 R; T @) c127.0.0.1 www.sophos.com
- f& a& D/ w E' O3 q) p* f1 `4 m127.0.0.1 sophos.com
& `1 |( y9 \ h8 n+ }3 @127.0.0.1 www.mcafee.com; C ?; @$ {) T% P+ L3 x
127.0.0.1 mcafee.com
: u. k0 C; U; a$ q! I127.0.0.1 liveupdate.symantecliveupdate.com2 u0 G& e2 ]2 S$ F; {
127.0.0.1 www.viruslist.com
7 Z- s* `$ T+ Y1 e- J; K127.0.0.1 viruslist.com
! T" F! `# K* c- ]8 y& ^, L127.0.0.1 viruslist.com; K. C& C1 g, @4 F: H7 I7 t1 m: O
127.0.0.1 f-secure.com7 G$ Z* G8 }+ H7 P; n2 h
127.0.0.1 www.f-secure.com
% e. O+ w' B' X2 r* R127.0.0.1 kaspersky.com% L2 y' x9 `8 ^+ J# C3 ?6 |$ N8 z
127.0.0.1 kaspersky-labs.com9 y7 I, H+ l4 X% m9 ^! R
127.0.0.1 www.avp.com% V% Z. h8 y, b& ~- ` J& G1 I
127.0.0.1 www.kaspersky.com
: e( Y9 w% i3 c! M127.0.0.1 avp.com9 o3 t3 W" t! f
127.0.0.1 www.networkassociates.com) ]) X6 k& B% _- O9 Y! M
127.0.0.1 networkassociates.com! u) v9 @ d1 B( g7 z. M' O# q
127.0.0.1 www.ca.com/ f/ S, }1 y" ^" z5 Z# }7 U
127.0.0.1 ca.com
& u8 L5 Q: p9 e j% v127.0.0.1 mast.mcafee.com
! k- ?: U7 N% u* O/ z5 B# `$ t127.0.0.1 my-etrust.com
' O; O, m" ]9 d2 k6 [3 }127.0.0.1 www.my-etrust.com
! z8 ^! L/ C1 T1 n8 W127.0.0.1 download.mcafee.com
6 o3 L# v/ s7 I/ I127.0.0.1 dispatch.mcafee.com4 D" ^8 s. y% Q* t; l+ ^/ E
127.0.0.1 secure.nai.com3 m5 d$ F8 v6 p, s& S3 a
127.0.0.1 nai.com, M8 z+ u' c! {
127.0.0.1 www.nai.com
l+ k- O5 S7 F# D2 M127.0.0.1 update.symantec.com
, f1 M0 N, E" q3 [4 `0 @4 [127.0.0.1 updates.symantec.com. {+ Z0 \4 D; p; p J- B5 v3 f" O
127.0.0.1 us.mcafee.com0 F$ O9 U5 v( O& i
127.0.0.1 liveupdate.symantec.com* h! }$ y0 w) @; @; F: U- O* K
127.0.0.1 customer.symantec.com( C: @% L7 y$ t( O1 s
127.0.0.1 rads.mcafee.com9 Y. m$ J0 h' E! e8 x( A
127.0.0.1 trendmicro.com
o# s5 _! Q8 R6 D* O8 s4 z: q: V127.0.0.1 www.trendmicro.com/ G3 b8 ]8 e! r; e
127.0.0.1 www.grisoft.com$ \8 a3 \4 d# P1 M9 E9 A$ `
文件是系统目录下的drivers\etc\hosts 文件。
3 X, A& z2 z' ?7 l! s3 W4 G
9 j3 J, b$ [. J, q; e% S(4)终止进程:% M; Y: ?9 N$ i' o0 j
irun4.exe; F$ M1 j& r$ j. E4 U2 N$ n# p
Ssate.exe' N- d: }" S$ j! i6 O2 B. X
i11r54n4.exe
1 s% S& `; Y; f% R1 ?winsys.exessgrate.exe
# Z% d1 G( `; O9 {" _: l+ Rd3dupdate.exe
$ f' s( u3 F/ P4 m, lbbeagle.exerate.exe
4 c/ n: w) }5 T* t0 l
9 N7 T$ U1 s' J1 K# _$ g(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
: [* ^% w* _* C1 @, ^
# ~ G3 T/ c/ D; _ _$ V(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。# I: {9 ~- M i X) J
(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。& T7 j9 {) q% n \0 ?
4 d$ Q) L7 Q- J(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。- C3 T, B+ e( v# [
& e* v1 h3 I# S7 O. F4 d5 y$ x8 B 江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。
' k- O6 w/ Z& j0 Q/ i! R2 u6 d2 U * V: L% q% k: J1 \1 _ A4 A
|
|