“震荡波”一波未平,“漏波”变种一波又起
www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。
江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。
(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
该病毒具体特征如下:
(1)文件特征:
msiwin84.exe
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
(2)注册表特征:
修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
文件是系统目录下的drivers\etc\hosts 文件。
(4)终止进程:
irun4.exe
Ssate.exe
i11r54n4.exe
winsys.exessgrate.exe
d3dupdate.exe
bbeagle.exerate.exe
(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。
打上本站发布的6个补丁即可防止此病毒 以下是引用煎饼在2004-5-3 21:08:38的发言:
打上本站发布的6个补丁即可防止此病毒
是吗?
偶装了
今天重装系统后就装了补丁 以下是引用西门寻欢在2004-5-4 2:21:55的发言:
以下是引用煎饼在2004-5-3 21:08:38的发言:
打上本站发布的6个补丁即可防止此病毒
是吗?
偶装了
今天重装系统后就装了补丁
持怀疑态度可以自己去考证 这些病毒真让人烦心啊!只能小心为好. 其实我是最讨厌打好多补丁的。。打得多,要影响速度,但是现在是不得不打啊。。。
连放火墙都开了 真的是补丁年啊,不过我是有啥补丁就打啥补丁
页:
[1]