“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
   
   
% b- v5 S* y( X7 D
        　
0 Z" B# P" {9 j3 t! y
    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。
8 Y9 d$ [% p6 [2 f/ Z9 u* [  A
+ M% m9 c2 A, H1 k3 n　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
; {( A: B. L& G9 }1 ~; V3 r(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
& b$ q( `, T4 ]$ k8 b6 I(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.


; g0 g8 W( D) `8 B2 D9 q& D　该病毒具体特征如下:

. y3 W+ D( p! ?8 ]& I) ^5 L(1)文件特征:
msiwin84.exe
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
$ y2 Q2 z" x) h5 h
( H& m5 q3 T. t8 ?1 ~  W(2)注册表特征:
* F4 e* B/ Q5 I3 d) u# |修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
% I8 `- x7 f3 W1 |( bHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

; j# C9 ~/ s2 f/ l# d+ O0 s(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
8 Z7 ~6 E5 z; l$ d5 s& S# q127.0.0.1 www.symantec.com
- S& `) F, y( L8 n" G, ]127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
! N4 u2 h+ u  O) k127.0.0.1 www.mcafee.com
: n: Q, D7 V& k/ m1 O127.0.0.1 mcafee.com
4 e+ U6 W+ R5 U. ~+ V$ e127.0.0.1 liveupdate.symantecliveupdate.com
- @# j% l0 P7 k4 G# q# K127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
! B8 y. z- x- ]6 @' |6 \127.0.0.1 f-secure.com
9 E/ ^3 V" N+ X+ U- j0 s5 \127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
" b" T$ J6 r9 w1 a' j127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
7 q9 q2 t: C( t/ c! d4 t127.0.0.1 www.kaspersky.com
0 G; W  v  W. k, q' i127.0.0.1 avp.com
, |6 J! R/ p8 q+ r1 E127.0.0.1 www.networkassociates.com
( G, `# F5 A  f( ~1 Q7 D: |127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
8 y9 o$ c2 A9 X, N127.0.0.1 ca.com
  L0 n, e: H8 a1 ]0 ?, F127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
8 Y; Z0 y/ d4 ^2 I) L127.0.0.1 www.my-etrust.com
% I. r% P# g4 d1 c+ V1 O& U127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
# e2 y+ v* Q, e127.0.0.1 nai.com
( c. l1 W! c# _! s( u127.0.0.1 www.nai.com
' }: L4 Q& M* I9 ]/ V% _: ^127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
, T$ _" T' l, s% U+ z8 |+ E127.0.0.1 liveupdate.symantec.com
: ]/ n7 j. v! R. E7 W0 U, n" S127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
9 e8 d( a0 J7 h3 d127.0.0.1 www.grisoft.com
文件是系统目录下的drivers\etc\hosts 文件。

(4)终止进程:
irun4.exe
2 G4 R. f: Z* J/ @) N+ |Ssate.exe
i11r54n4.exe
winsys.exessgrate.exe
# V- a* U1 S$ \; ]! Z$ ^* ]d3dupdate.exe
bbeagle.exerate.exe
9 K' G' c, F8 |/ f% {
- `1 p1 f8 E, p+ ]0 z: T/ Y% a3 g* h(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
" l: P3 Q4 f0 X6 ^
(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
4 ]8 Y6 h. ]- t8 M% s(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
  `# `/ a/ s) P: c+ \
(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。

　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
$ |0 K- j6 t1 E7 q) D  
: }9 Y! P8 ?. I

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒

: ^0 \8 ~- u' X/ a0 y1 s
是吗？
偶装了
7 f: I% z8 g: q8 M% ^* O今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
0 Y3 J  y) y. ?( W* G/ x) f[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒
, {  O( M1 i0 u. a$ x* H! J

是吗？
偶装了
( y! g# L1 c0 ]: v. o9 { 今天重装系统后就装了补丁
$ R$ F' {6 w* w% k+ @. t[/quote]

$ ~2 D4 A" S- Z5 N# ]/ Z( {持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁