 TA的每日心情 | 奋斗
4 天前 |
|---|
签到天数: 2370 天 [LV.Master]伴坛终老
|
www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技
" ]& o' C. w6 w9 C( E- p8 O9 p 3 t- W. u* @. C: y4 P
9 T0 q) o/ `/ J/ g9 T; ~7 B! T
3 p0 |4 c0 p' y0 x( G
3 @, @8 G% d' N6 E0 N3 E3 F$ w
, O a' |" c5 `7 l1 W# b 5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。0 b; n8 k! q( ?7 G
3 T$ |7 n3 V6 K$ m
江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
! q! N4 G. U. \' y6 ], t8 A(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。. K* X7 v2 H; Y% v
(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
* s6 K' s* @5 ]% D" wWINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
c" s* A% m! J) B: O6 B(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
9 }6 j0 ]! ~$ ` R8 Q M5 I. _& u( n. \) a6 E/ y n! B
p. A, ^9 W( c3 X# b 该病毒具体特征如下:
2 @6 K( v! G9 I1 t5 \* C" N" q
5 C! v4 q! s2 }; V7 t; S. ?! @(1)文件特征:# k: O- w3 |7 g
msiwin84.exe9 n9 G9 l6 S& \- _, r+ q c2 b
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
f% A& d4 K8 {1 o" t: Q9 c* \* g' p
(2)注册表特征:
. N& a- G3 w7 V5 [ D修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
! G2 s1 V+ N7 p! ?HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run4 p/ A! @ e9 A0 m$ x2 U/ X
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
. p% x4 C0 b6 i# D' r2 h7 y p- N0 k E9 x
(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
, @' X6 P4 J+ I2 O) g; b; b, D127.0.0.1 www.symantec.com
8 ^5 V6 Y+ |3 d- W127.0.0.1 securityresponse.symantec.com: I2 o( v/ B- ]8 t8 @; l
127.0.0.1 symantec.com" T( g0 J" D$ J; k) X4 d5 A/ d# d
127.0.0.1 www.sophos.com- _; w/ y2 Z. |/ a5 p
127.0.0.1 sophos.com
2 L$ f& q X4 _$ Z! g127.0.0.1 www.mcafee.com/ z/ ^( F. p5 q& q1 u( X( J: l
127.0.0.1 mcafee.com
, |, W" z: q* v! n& h127.0.0.1 liveupdate.symantecliveupdate.com8 B- `$ r1 _: _) ]5 o
127.0.0.1 www.viruslist.com; S! A8 o2 v2 \8 q4 S
127.0.0.1 viruslist.com
% B" h4 o( H" q" D1 u127.0.0.1 viruslist.com
; G1 O6 h% G* r- I127.0.0.1 f-secure.com& j. t& W( `* ~: N8 P% R& v
127.0.0.1 www.f-secure.com3 {5 v" S1 y6 k$ P1 z# A. T
127.0.0.1 kaspersky.com7 k" [) Z0 Q6 T$ W) ^2 c
127.0.0.1 kaspersky-labs.com
( m" V/ G$ c" ]0 B$ z127.0.0.1 www.avp.com! f: T2 P/ r6 ], n! Y" _ E; i& L1 r
127.0.0.1 www.kaspersky.com' }+ N: Z1 }, T8 N$ q
127.0.0.1 avp.com3 Y; `! d0 {9 a. a2 I
127.0.0.1 www.networkassociates.com( e4 H/ a' y( R& _! V! @1 @
127.0.0.1 networkassociates.com
# E- n5 T" I' D6 v: y127.0.0.1 www.ca.com. Z) b$ F8 d3 e! N
127.0.0.1 ca.com
( ~: N" l6 a; q* r$ D127.0.0.1 mast.mcafee.com
" B8 f2 X$ b' {4 H$ o. @5 y. w127.0.0.1 my-etrust.com
a/ b( D6 R' K; u0 L127.0.0.1 www.my-etrust.com
) j1 ? }* J% k% Y) ~! S6 n/ H1 t127.0.0.1 download.mcafee.com& M o3 b3 A3 W4 Y7 ?2 g' q
127.0.0.1 dispatch.mcafee.com; {1 b- Q* K, J% @+ Z) c
127.0.0.1 secure.nai.com
& L5 B7 @) ?; O127.0.0.1 nai.com
- X6 w; m9 R. Y127.0.0.1 www.nai.com' c1 c" X/ S4 P+ w- f+ v, O
127.0.0.1 update.symantec.com
7 v; l+ A3 I% S$ i! F2 V+ O, c' z/ q8 P127.0.0.1 updates.symantec.com$ b+ {& h9 b- U
127.0.0.1 us.mcafee.com
+ Q, ]8 P* F. f; G5 e3 V% \! W127.0.0.1 liveupdate.symantec.com
' _; M. D. j$ E% @, i) A6 w127.0.0.1 customer.symantec.com- k6 \% B* K& I# @& y2 K
127.0.0.1 rads.mcafee.com
' U; D* u2 r- a. t127.0.0.1 trendmicro.com
6 d' X' X, u3 K127.0.0.1 www.trendmicro.com
# l. B& ]" ^/ v# B$ n127.0.0.1 www.grisoft.com
& E" b! a5 G' R, M9 h3 s文件是系统目录下的drivers\etc\hosts 文件。1 T& X6 W+ a# z3 g
6 Q! _: U! [7 x5 A( ?4 d. ]$ Z( ^
(4)终止进程:
0 Y$ b, {( b4 k! g! }irun4.exe
' Y1 O; h, V; LSsate.exe
/ L: r4 Z: d( h4 zi11r54n4.exe
& R& `, L# Q) Z$ F$ swinsys.exessgrate.exe
9 M t/ }& B8 Bd3dupdate.exe, |! B) `; d1 `; H) C7 T2 ]- a! B
bbeagle.exerate.exe
: I) v2 ] [, m9 A( _+ A" \
& ]: f, L( P: G# Y. V. u(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。; N2 n I$ ~6 @+ ?5 @; t
4 P/ [4 Y5 `' F( l& w
(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
9 `7 A/ T% \* i! W& H' L9 K(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。; m' u) S$ n" _7 ]$ _
4 a9 M& t+ q# _% K& i3 C
(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
4 s5 t4 Y6 ~9 g7 t; u% A/ j$ ^ K" x* S5 y/ T! O5 a
江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。
" M, j4 L$ w7 v1 ^% O, S3 f
+ x& C- ?) J* w8 V, [! z! e |
|
/1 
IP卡
狗仔卡
发表于 2004-5-3 21:06:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
发表于 2004-5-4 02:21:00
发表于 2004-5-4 13:17:00
