TA的每日心情 | 奋斗 昨天 10:07 |
---|
签到天数: 2385 天 [LV.Master]伴坛终老
|
www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技 3 D) }0 s+ h/ h" _" g( Q; P& @1 R
$ X# Y. r/ x7 w' Q I6 ?: z3 @
; r# c1 `/ C9 @ f: `
# {6 `5 v5 s. P8 v4 s0 ]4 R+ [! q
+ O- X* `% j: \+ \, C( e7 U
$ U8 q: W( S- u u! [ 5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。; k$ Y# |% G* I; D# H
5 V2 I" H/ m. ^/ L4 u 江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
( e4 U' o A0 h& o0 b(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。
# A5 C" }2 D3 x: C. u(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)' Z3 E. ]# p/ P& u. G
WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
8 _8 g8 s( B+ Y9 q- J' J2 F8 G(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
" k/ f$ B; {0 t, v; m2 R, |, o0 m0 C, S' B0 D5 U9 _/ N
. W {4 I V( i' G& e2 ~; x8 t' `
该病毒具体特征如下:
# Z% M9 P" m X9 A" p( c" k/ ^
; e; U D) v+ w+ _9 `(1)文件特征:0 `0 ^0 u! F) G: _. \. K
msiwin84.exe
' o: ]/ c% E% Z' Z$ x' z+ r修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.% @0 I$ ?7 I- f& b/ r
$ ]; R1 O8 B8 F3 v/ P8 d9 Q(2)注册表特征:: {" w9 }& s& {3 _& C, l. y
修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
3 F; t1 S# I( s* S1 MHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
: ?# r8 a6 d" U' k( \8 fHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices/ ]$ s) M$ X5 l, D
% e: }+ f3 h) C3 q# ?/ g
(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
' p- P8 p* ?2 }) }# o; A7 Q127.0.0.1 www.symantec.com
. G: \( w& y; \! ]127.0.0.1 securityresponse.symantec.com) I* a$ J" R0 n1 g- l# ?! v$ n
127.0.0.1 symantec.com1 l7 L" x) G0 B* q9 a' F' U; D
127.0.0.1 www.sophos.com
1 T; {) }1 v: o2 K0 x127.0.0.1 sophos.com6 w# ^: _6 |: i9 v" s: Q3 r
127.0.0.1 www.mcafee.com
4 f J2 U0 S! s: X127.0.0.1 mcafee.com
* @+ [9 ]! h. B! s) C$ }; b# O127.0.0.1 liveupdate.symantecliveupdate.com
9 Q# h7 i# i; k: ?127.0.0.1 www.viruslist.com
5 t! R/ E7 t+ T9 N" U: }* Q127.0.0.1 viruslist.com' z4 }" q* G- u0 v
127.0.0.1 viruslist.com7 i! {1 h; L$ l7 C# J+ k x
127.0.0.1 f-secure.com0 E" d, e/ ~- W D# e9 W1 `
127.0.0.1 www.f-secure.com. K9 w' T ?: N( R
127.0.0.1 kaspersky.com; ?( |- h& F) {+ ^) C0 h6 p$ s
127.0.0.1 kaspersky-labs.com
& o# \( d/ B/ I- h9 H127.0.0.1 www.avp.com9 L; q% r& \ s7 W9 A
127.0.0.1 www.kaspersky.com
% H3 m ^& f6 j$ h1 C0 m127.0.0.1 avp.com; Z$ F/ O4 {3 r; J( B+ ]3 [% S
127.0.0.1 www.networkassociates.com
7 m, I. c- u- `) F8 t127.0.0.1 networkassociates.com
- P3 S) Q9 d( ~+ l' L# [5 m127.0.0.1 www.ca.com U7 I; k( B& F+ A: W; `7 P
127.0.0.1 ca.com
" C6 ^% A2 y" [& |3 @! w127.0.0.1 mast.mcafee.com7 T$ m' ~' E* N# ~
127.0.0.1 my-etrust.com
' r4 g7 P+ Z! o* Q2 h' q& _2 ^127.0.0.1 www.my-etrust.com$ B6 g0 O! x$ m+ x
127.0.0.1 download.mcafee.com. ^4 u4 j1 _: A2 t! \
127.0.0.1 dispatch.mcafee.com, c4 B: }* c! ~* j' t1 [
127.0.0.1 secure.nai.com
! Q% V: j) ~ w7 X1 i7 v127.0.0.1 nai.com4 @9 A4 H5 i5 H% l% ~& c
127.0.0.1 www.nai.com" R) X Z: g3 G1 f. e4 C* j2 `
127.0.0.1 update.symantec.com" v7 ]- A( V4 t P7 |
127.0.0.1 updates.symantec.com
) X+ N2 i1 G. S9 T+ ]; @127.0.0.1 us.mcafee.com# i9 g g* c( h; H, `1 D3 P# S5 p
127.0.0.1 liveupdate.symantec.com
" g! @7 e+ ]* G* v7 r127.0.0.1 customer.symantec.com
, h% j" E% g+ m8 z0 v127.0.0.1 rads.mcafee.com
$ n: y, B1 c# \1 x127.0.0.1 trendmicro.com) B% g" V* D2 ~9 ?4 v
127.0.0.1 www.trendmicro.com8 H4 u3 G& t; P9 b W" J0 [
127.0.0.1 www.grisoft.com
3 g% }5 m P; O. ?; [文件是系统目录下的drivers\etc\hosts 文件。
1 c3 h8 B4 N2 s1 G3 h
1 t# a& {6 q8 R3 _# ]* t# J1 j(4)终止进程:
# g. S$ C8 i7 _5 Z% W) U3 K+ firun4.exe0 k# q' ^% K# n2 S8 c
Ssate.exe
) L- c" {7 N0 p8 C3 R4 ci11r54n4.exe
$ f. r5 o0 \5 D: Swinsys.exessgrate.exe
0 m" w8 s8 z& J1 o4 id3dupdate.exe
- p4 r) n4 [- Q( b( Q% Z- ?bbeagle.exerate.exe
3 R1 s) w' O- x/ @, t* L, l' M$ r" V6 r. ]/ z$ S$ J4 r# R
(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
/ C# @, ]0 }3 _% r2 C! w) |; A# x) k$ }# r# B+ C
(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
. S0 Q' d6 p( H: \(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
2 x* B( G- W, M, A4 @% o/ v7 R
( h. Z2 q$ f+ [9 c(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。; R/ v9 t# \8 K4 M
! Q5 i2 }6 \5 T- h) T: Y
江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。
* f7 h6 A7 J( G
1 x; W6 A& p$ z- I( I; ^7 M |
|