下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2133|回复: 6
打印 上一主题 下一主题

“震荡波”一波未平,“漏波”变种一波又起

[复制链接]
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-3 21:06:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技    3 D) }0 s+ h/ h" _" g( Q; P& @1 R
       
    $ X# Y. r/ x7 w' Q  I6 ?: z3 @   
    ; r# c1 `/ C9 @  f: `
    # {6 `5 v5 s. P8 v4 s0 ]4 R+ [! q         
    + O- X* `% j: \+ \, C( e7 U
    $ U8 q: W( S- u  u! [    5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。; k$ Y# |% G* I; D# H

    5 V2 I" H/ m. ^/ L4 u  江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
    ( e4 U' o  A0 h& o0 b(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。
    # A5 C" }2 D3 x: C. u(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)' Z3 E. ]# p/ P& u. G
    WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
    8 _8 g8 s( B+ Y9 q- J' J2 F8 G(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
    " k/ f$ B; {0 t, v; m2 R, |, o0 m0 C, S' B0 D5 U9 _/ N
    . W  {4 I  V( i' G& e2 ~; x8 t' `
     该病毒具体特征如下:
    # Z% M9 P" m  X9 A" p( c" k/ ^
    ; e; U  D) v+ w+ _9 `(1)文件特征:0 `0 ^0 u! F) G: _. \. K
    msiwin84.exe
    ' o: ]/ c% E% Z' Z$ x' z+ r修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.% @0 I$ ?7 I- f& b/ r

    $ ]; R1 O8 B8 F3 v/ P8 d9 Q(2)注册表特征:: {" w9 }& s& {3 _& C, l. y
    修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
    3 F; t1 S# I( s* S1 MHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    : ?# r8 a6 d" U' k( \8 fHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices/ ]$ s) M$ X5 l, D
    % e: }+ f3 h) C3 q# ?/ g
    (3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
    ' p- P8 p* ?2 }) }# o; A7 Q127.0.0.1 www.symantec.com
    . G: \( w& y; \! ]127.0.0.1 securityresponse.symantec.com) I* a$ J" R0 n1 g- l# ?! v$ n
    127.0.0.1 symantec.com1 l7 L" x) G0 B* q9 a' F' U; D
    127.0.0.1 www.sophos.com
    1 T; {) }1 v: o2 K0 x127.0.0.1 sophos.com6 w# ^: _6 |: i9 v" s: Q3 r
    127.0.0.1 www.mcafee.com
    4 f  J2 U0 S! s: X127.0.0.1 mcafee.com
    * @+ [9 ]! h. B! s) C$ }; b# O127.0.0.1 liveupdate.symantecliveupdate.com
    9 Q# h7 i# i; k: ?127.0.0.1 www.viruslist.com
    5 t! R/ E7 t+ T9 N" U: }* Q127.0.0.1 viruslist.com' z4 }" q* G- u0 v
    127.0.0.1 viruslist.com7 i! {1 h; L$ l7 C# J+ k  x
    127.0.0.1 f-secure.com0 E" d, e/ ~- W  D# e9 W1 `
    127.0.0.1 www.f-secure.com. K9 w' T  ?: N( R
    127.0.0.1 kaspersky.com; ?( |- h& F) {+ ^) C0 h6 p$ s
    127.0.0.1 kaspersky-labs.com
    & o# \( d/ B/ I- h9 H127.0.0.1 www.avp.com9 L; q% r& \  s7 W9 A
    127.0.0.1 www.kaspersky.com
    % H3 m  ^& f6 j$ h1 C0 m127.0.0.1 avp.com; Z$ F/ O4 {3 r; J( B+ ]3 [% S
    127.0.0.1 www.networkassociates.com
    7 m, I. c- u- `) F8 t127.0.0.1 networkassociates.com
    - P3 S) Q9 d( ~+ l' L# [5 m127.0.0.1 www.ca.com  U7 I; k( B& F+ A: W; `7 P
    127.0.0.1 ca.com
    " C6 ^% A2 y" [& |3 @! w127.0.0.1 mast.mcafee.com7 T$ m' ~' E* N# ~
    127.0.0.1 my-etrust.com
    ' r4 g7 P+ Z! o* Q2 h' q& _2 ^127.0.0.1 www.my-etrust.com$ B6 g0 O! x$ m+ x
    127.0.0.1 download.mcafee.com. ^4 u4 j1 _: A2 t! \
    127.0.0.1 dispatch.mcafee.com, c4 B: }* c! ~* j' t1 [
    127.0.0.1 secure.nai.com
    ! Q% V: j) ~  w7 X1 i7 v127.0.0.1 nai.com4 @9 A4 H5 i5 H% l% ~& c
    127.0.0.1 www.nai.com" R) X  Z: g3 G1 f. e4 C* j2 `
    127.0.0.1 update.symantec.com" v7 ]- A( V4 t  P7 |
    127.0.0.1 updates.symantec.com
    ) X+ N2 i1 G. S9 T+ ]; @127.0.0.1 us.mcafee.com# i9 g  g* c( h; H, `1 D3 P# S5 p
    127.0.0.1 liveupdate.symantec.com
    " g! @7 e+ ]* G* v7 r127.0.0.1 customer.symantec.com
    , h% j" E% g+ m8 z0 v127.0.0.1 rads.mcafee.com
    $ n: y, B1 c# \1 x127.0.0.1 trendmicro.com) B% g" V* D2 ~9 ?4 v
    127.0.0.1 www.trendmicro.com8 H4 u3 G& t; P9 b  W" J0 [
    127.0.0.1 www.grisoft.com
    3 g% }5 m  P; O. ?; [文件是系统目录下的drivers\etc\hosts 文件。
    1 c3 h8 B4 N2 s1 G3 h
    1 t# a& {6 q8 R3 _# ]* t# J1 j(4)终止进程:
    # g. S$ C8 i7 _5 Z% W) U3 K+ firun4.exe0 k# q' ^% K# n2 S8 c
    Ssate.exe
    ) L- c" {7 N0 p8 C3 R4 ci11r54n4.exe
    $ f. r5 o0 \5 D: Swinsys.exessgrate.exe
    0 m" w8 s8 z& J1 o4 id3dupdate.exe
    - p4 r) n4 [- Q( b( Q% Z- ?bbeagle.exerate.exe
    3 R1 s) w' O- x/ @, t* L, l' M$ r" V6 r. ]/ z$ S$ J4 r# R
    (5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
    / C# @, ]0 }3 _% r2 C! w) |; A# x) k$ }# r# B+ C
    (6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
    . S0 Q' d6 p( H: \(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
    2 x* B( G- W, M, A4 @% o/ v7 R
    ( h. Z2 q$ f+ [9 c(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。; R/ v9 t# \8 K4 M
    ! Q5 i2 }6 \5 T- h) T: Y
      江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。   
    * f7 h6 A7 J( G  
    1 x; W6 A& p$ z- I( I; ^7 M
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
     楼主| 发表于 2004-5-3 21:08:00 | 只看该作者
    打上本站发布的6个补丁即可防止此病毒
  • TA的每日心情
    开心
    2016-2-18 10:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    3
    发表于 2004-5-4 02:21:00 | 只看该作者
    以下是引用煎饼在2004-5-3 21:08:38的发言:# Q: y7 e4 j* a& Y# l+ L
    打上本站发布的6个补丁即可防止此病毒

    % `8 I9 ]: H! Y' D: q7 g1 ]/ w( A0 \: y6 S) A1 j
    是吗?
    4 i% ~; e' k$ S5 e- \/ E' d! ~1 M偶装了
    # F5 b( B2 `  o) X今天重装系统后就装了补丁
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    4
     楼主| 发表于 2004-5-4 12:33:00 | 只看该作者
    以下是引用西门寻欢在2004-5-4 2:21:55的发言:$ T2 e1 L9 z! i$ u9 K3 u; d  y' m
    [quote]以下是引用煎饼在2004-5-3 21:08:38的发言:6 H2 U5 ?+ H% J) ?: v9 a. g
    打上本站发布的6个补丁即可防止此病毒
    8 C0 `) K8 {0 ^* l
    $ v) C% u6 f  O+ @3 s/ x

    ( S7 e7 C  s8 D6 S3 L6 F4 S 是吗?
    / c: d* ^" Z! B5 M  ?) b5 w 偶装了
    " \1 S# ]: B6 m6 E0 w& | 今天重装系统后就装了补丁3 u) A/ M$ ]( ~! l
    [/quote]
    0 A- Q! G0 d, V8 b; S+ |# K7 Q: C/ i+ U2 H8 n5 `  t
    持怀疑态度可以自己去考证

    该用户从未签到

    5
    发表于 2004-5-4 12:38:00 | 只看该作者
    这些病毒真让人烦心啊!只能小心为好.

    该用户从未签到

    6
    发表于 2004-5-4 13:17:00 | 只看该作者
    其实我是最讨厌打好多补丁的。。打得多,要影响速度,但是现在是不得不打啊。。。
    6 [4 y# Y1 _! {+ |7 c连放火墙都开了

    该用户从未签到

    7
    发表于 2004-5-4 13:46:00 | 只看该作者
    真的是补丁年啊,不过我是有啥补丁就打啥补丁

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表