“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
   
8 j) U, @1 B2 Y) a9 z* G7 g   

        　

    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。

　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
) x0 p& J3 i4 e/ x+ f! r(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
' P9 Y, o' e5 W(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
: R. ^' ]; ~( L5 P* j. E6 E, U3 OWINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
+ ^( p4 c! B1 q' a# Z7 u( A: z

　该病毒具体特征如下:

(1)文件特征:
msiwin84.exe
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
4 C0 W! _- _+ s4 b( L# }' X, \
(2)注册表特征:
修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
4 D( A" H$ r; V( _# OHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
& u! N2 [, O" i
(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
: q2 o* G' O9 E% G, }6 A8 A127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
+ E6 I/ y- J4 u0 Z0 z127.0.0.1 sophos.com
+ H# H; [2 Q& V1 U127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
- }# R2 k: z8 ~5 ?* s+ p" o127.0.0.1 f-secure.com
/ a+ ]  _# ~+ _7 \: {127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
! \) f, q. k; b% [( q- w6 _127.0.0.1 kaspersky-labs.com
. C+ L6 q5 M- h: j( g127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
, x$ o* S7 ^6 H4 \3 }$ l0 g9 q127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
' g% ?+ b5 v1 c127.0.0.1 www.ca.com
. U% ?% R( f3 c) D7 ^! _127.0.0.1 ca.com
4 Z& \8 W" s/ H, [127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
5 X  {) i) X3 ^# U' ~5 R2 \" J6 y127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
) G% s/ T7 X% b127.0.0.1 dispatch.mcafee.com
6 y5 Y+ _' J$ j( J( ]127.0.0.1 secure.nai.com
) j/ ?* z; r, o127.0.0.1 nai.com
127.0.0.1 www.nai.com
, k( V# M7 Z+ l( I127.0.0.1 update.symantec.com
9 |: ^7 }& h1 ^3 G3 c  R* q- h127.0.0.1 updates.symantec.com
' K# Q) F% B7 ]6 t& k127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
1 Z! w# R1 [; r3 ~127.0.0.1 rads.mcafee.com
3 M% R% ^) _- A& J/ s" b127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
文件是系统目录下的drivers\etc\hosts 文件。
$ i: W9 j( c# C: H
% x( x* w8 E8 `( \- g(4)终止进程:
irun4.exe
Ssate.exe
$ _( Z$ i1 e' F) p, A1 ti11r54n4.exe
winsys.exessgrate.exe
d3dupdate.exe
bbeagle.exerate.exe

+ B1 I. g* a+ t(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
! x& I4 t' i3 i0 z/ i7 u
/ u) A. ~/ w% I. Q$ H4 K, _! n(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。

/ p+ A+ F: u" x; b$ G+ [/ E(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。

; n8 A" h# ^$ m/ R2 t/ O/ ` 　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
  
) \0 _  M: o# I: Y8 w6 n

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒

是吗？
2 E1 F; F; i* [- U7 f偶装了
; M1 u! E& A, N) `  E3 Q今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
( x1 y; _; B- j5 o2 |[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
0 b/ |; o. n6 o- O 打上本站发布的6个补丁即可防止此病毒

  D2 T  h  P6 N( i3 h/ |. v' d 是吗？
偶装了
今天重装系统后就装了补丁
% J& ^& F2 R+ p) l. `[/quote]

8 c$ d  w) m4 d" y持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
1 ~9 J: M* o+ a, n" U7 u连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁