下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2131|回复: 6
打印 上一主题 下一主题

“震荡波”一波未平,“漏波”变种一波又起

[复制链接]
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-3 21:06:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技    ! d. z. S& m% p. I+ A1 F
       
    4 l4 U# ~) a! @! t4 t   
    3 E4 X  d  o4 y1 p, A! h% x
    " E1 S$ y. b  S+ j: J         
    5 b1 g4 @8 J  U' M
    ' W, u, h, U( j  Z  N9 ]    5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。/ \" p" J4 o7 Y: A, E

    ' ~& M7 N) R, w+ M$ c; Y( K  江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
    ! I% K: R6 \+ Z7 f(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。; B  l7 Z! G/ C" |
    (2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
    6 \' F3 Y5 r: O6 wWINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.: J8 Y% P- h2 z, r
    (3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.! m9 c/ L6 x9 Z7 I: C) {; t
    % d% F5 o% z1 b$ v
    . e  F' }; G. S! {
     该病毒具体特征如下:& w8 q# q# e5 n3 C# G

    $ |. x' h) g9 @(1)文件特征:, g' O) e& q* Z% W, _0 a
    msiwin84.exe
    2 z# o6 Y* z) m* v1 o/ K& S7 k修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.9 P6 G3 V* V% y
    3 H% E% w0 Y8 l: s
    (2)注册表特征:# Q3 U; s9 B) Z( o3 V  w
    修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
    ( J* H) |1 |4 `( a  b) u( d! H1 a! _HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run7 Q4 }+ x# f% G/ `& q& A. V0 G2 J
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    * f9 n1 ?2 ?  c6 ?4 L8 H: R: ?! D# q6 s" j
    (3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
    2 F# w! G/ b; `& D5 r127.0.0.1 www.symantec.com$ f7 u2 J& e2 a+ R% C1 @6 f: [
    127.0.0.1 securityresponse.symantec.com' D; B. p. ?  B. C5 {" u5 U
    127.0.0.1 symantec.com
    . T( N. z1 T6 R; T  @) c127.0.0.1 www.sophos.com
    - f& a& D/ w  E' O3 q) p* f1 `4 m127.0.0.1 sophos.com
    & `1 |( y9 \  h8 n+ }3 @127.0.0.1 www.mcafee.com; C  ?; @$ {) T% P+ L3 x
    127.0.0.1 mcafee.com
    : u. k0 C; U; a$ q! I127.0.0.1 liveupdate.symantecliveupdate.com2 u0 G& e2 ]2 S$ F; {
    127.0.0.1 www.viruslist.com
    7 Z- s* `$ T+ Y1 e- J; K127.0.0.1 viruslist.com
    ! T" F! `# K* c- ]8 y& ^, L127.0.0.1 viruslist.com; K. C& C1 g, @4 F: H7 I7 t1 m: O
    127.0.0.1 f-secure.com7 G$ Z* G8 }+ H7 P; n2 h
    127.0.0.1 www.f-secure.com
    % e. O+ w' B' X2 r* R127.0.0.1 kaspersky.com% L2 y' x9 `8 ^+ J# C3 ?6 |$ N8 z
    127.0.0.1 kaspersky-labs.com9 y7 I, H+ l4 X% m9 ^! R
    127.0.0.1 www.avp.com% V% Z. h8 y, b& ~- `  J& G1 I
    127.0.0.1 www.kaspersky.com
    : e( Y9 w% i3 c! M127.0.0.1 avp.com9 o3 t3 W" t! f
    127.0.0.1 www.networkassociates.com) ]) X6 k& B% _- O9 Y! M
    127.0.0.1 networkassociates.com! u) v9 @  d1 B( g7 z. M' O# q
    127.0.0.1 www.ca.com/ f/ S, }1 y" ^" z5 Z# }7 U
    127.0.0.1 ca.com
    & u8 L5 Q: p9 e  j% v127.0.0.1 mast.mcafee.com
    ! k- ?: U7 N% u* O/ z5 B# `$ t127.0.0.1 my-etrust.com
    ' O; O, m" ]9 d2 k6 [3 }127.0.0.1 www.my-etrust.com
    ! z8 ^! L/ C1 T1 n8 W127.0.0.1 download.mcafee.com
    6 o3 L# v/ s7 I/ I127.0.0.1 dispatch.mcafee.com4 D" ^8 s. y% Q* t; l+ ^/ E
    127.0.0.1 secure.nai.com3 m5 d$ F8 v6 p, s& S3 a
    127.0.0.1 nai.com, M8 z+ u' c! {
    127.0.0.1 www.nai.com
      l+ k- O5 S7 F# D2 M127.0.0.1 update.symantec.com
    , f1 M0 N, E" q3 [4 `0 @4 [127.0.0.1 updates.symantec.com. {+ Z0 \4 D; p; p  J- B5 v3 f" O
    127.0.0.1 us.mcafee.com0 F$ O9 U5 v( O& i
    127.0.0.1 liveupdate.symantec.com* h! }$ y0 w) @; @; F: U- O* K
    127.0.0.1 customer.symantec.com( C: @% L7 y$ t( O1 s
    127.0.0.1 rads.mcafee.com9 Y. m$ J0 h' E! e8 x( A
    127.0.0.1 trendmicro.com
      o# s5 _! Q8 R6 D* O8 s4 z: q: V127.0.0.1 www.trendmicro.com/ G3 b8 ]8 e! r; e
    127.0.0.1 www.grisoft.com$ \8 a3 \4 d# P1 M9 E9 A$ `
    文件是系统目录下的drivers\etc\hosts 文件。
    3 X, A& z2 z' ?7 l! s3 W4 G
    9 j3 J, b$ [. J, q; e% S(4)终止进程:% M; Y: ?9 N$ i' o0 j
    irun4.exe; F$ M1 j& r$ j. E4 U2 N$ n# p
    Ssate.exe' N- d: }" S$ j! i6 O2 B. X
    i11r54n4.exe
    1 s% S& `; Y; f% R1 ?winsys.exessgrate.exe
    # Z% d1 G( `; O9 {" _: l+ Rd3dupdate.exe
    $ f' s( u3 F/ P4 m, lbbeagle.exerate.exe
    4 c/ n: w) }5 T* t0 l
    9 N7 T$ U1 s' J1 K# _$ g(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
    : [* ^% w* _* C1 @, ^
    # ~  G3 T/ c/ D; _  _$ V(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。# I: {9 ~- M  i  X) J
    (7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。& T7 j9 {) q% n  \0 ?

    4 d$ Q) L7 Q- J(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。- C3 T, B+ e( v# [

    & e* v1 h3 I# S7 O. F4 d5 y$ x8 B   江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。   
    ' k- O6 w/ Z& j0 Q/ i! R2 u6 d2 U  * V: L% q% k: J1 \1 _  A4 A
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
     楼主| 发表于 2004-5-3 21:08:00 | 只看该作者
    打上本站发布的6个补丁即可防止此病毒
  • TA的每日心情
    开心
    2016-2-18 10:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    3
    发表于 2004-5-4 02:21:00 | 只看该作者
    以下是引用煎饼在2004-5-3 21:08:38的发言:# M1 X0 C) J6 [
    打上本站发布的6个补丁即可防止此病毒
    * E7 [! c9 ?6 ]& l- ?! w

    5 d+ A, O7 z& s' N是吗?
    # @: {$ r1 j) v- w/ q/ h( @偶装了6 Y0 y) ?. v1 q) `' \  D
    今天重装系统后就装了补丁
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    4
     楼主| 发表于 2004-5-4 12:33:00 | 只看该作者
    以下是引用西门寻欢在2004-5-4 2:21:55的发言:
    7 y$ p$ o5 F( I# L% E' O[quote]以下是引用煎饼在2004-5-3 21:08:38的发言:3 @% [0 L7 k3 q9 @3 i6 f/ k$ g
    打上本站发布的6个补丁即可防止此病毒" o2 F7 p$ Y+ Y/ _( h  q

    : w* D' O, e! R8 Q& l& |/ H6 Z; c/ G  h3 y: B/ }0 Q
    是吗?
    ! q& P: O  a: a2 S1 ] 偶装了
    7 E) L: }7 E/ I7 ]8 B6 `! h* M! I: h 今天重装系统后就装了补丁9 F5 t: ~& A+ F; }1 n) y" {. d
    [/quote]
    ! |8 w% d- r- a2 i1 B* [
    , R  `$ m( `% N持怀疑态度可以自己去考证

    该用户从未签到

    5
    发表于 2004-5-4 12:38:00 | 只看该作者
    这些病毒真让人烦心啊!只能小心为好.

    该用户从未签到

    6
    发表于 2004-5-4 13:17:00 | 只看该作者
    其实我是最讨厌打好多补丁的。。打得多,要影响速度,但是现在是不得不打啊。。。  o) H( I2 R, O5 L8 \1 z
    连放火墙都开了

    该用户从未签到

    7
    发表于 2004-5-4 13:46:00 | 只看该作者
    真的是补丁年啊,不过我是有啥补丁就打啥补丁

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表