TA的每日心情 | 奋斗 昨天 10:07 |
---|
签到天数: 2385 天 [LV.Master]伴坛终老
|
www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技 - h- N( M1 B$ K! _% `) @
& S8 J& Y' c0 Z
8 R7 a; f* t D% k& w& b : Y% @$ A0 C/ |3 B9 Y
' c3 M/ J) H3 [5 u: |& S0 A! P; D
9 C, {3 ^0 }. w* E" A# ^ 5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。; ]: v' G2 y9 f' b: {' j+ _
9 s) U6 }3 s& v: W( u% X. Q
江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
/ \& a( p( v |3 z* w0 C1 b(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。
- [7 K$ X% [' h3 _" `3 m0 A(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)8 y' `' Z3 a8 E
WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.2 \8 l7 w! @2 [! u+ c9 t5 k
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.- X, c' ]+ u2 D. l
7 _, F9 C0 ]7 N v8 v
% ?( v3 v( _3 @& x* K, Y 该病毒具体特征如下:# D1 N- I- m+ O3 V) Y
2 g5 J5 t, y% g7 B1 ^8 m. T
(1)文件特征:6 c, o* C/ M4 u' P* f$ ?) g
msiwin84.exe
/ i: Y; Y% c3 h+ |1 O% F5 D+ I修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
: j+ G' _* |2 u% U: n, ]+ b! N; t
5 t8 [ g* e2 i(2)注册表特征:
0 `) `2 G3 r' b9 ]修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
* l* |1 d7 t$ B* U) i4 LHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run7 j1 w) ]3 \ I) P) e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices- `4 ^9 r+ y/ B: K
& ?6 W. S u* e3 M* o, ]$ _(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
, z( n; O: e: f0 H. h: M% q+ q127.0.0.1 www.symantec.com6 w- n8 v# ]* u; J4 K
127.0.0.1 securityresponse.symantec.com }; U" W$ \* J/ `) J
127.0.0.1 symantec.com, I$ `5 P- Y* o! i
127.0.0.1 www.sophos.com
( z5 l# `, B( q( e: {3 R127.0.0.1 sophos.com
) o4 u5 i6 p3 x/ y127.0.0.1 www.mcafee.com, O# V+ p+ g: C% d: K2 l3 I9 t' A
127.0.0.1 mcafee.com
4 f) e- b1 F& }5 b9 [127.0.0.1 liveupdate.symantecliveupdate.com
. V$ `) Z1 Y0 t3 u, Z127.0.0.1 www.viruslist.com
* R8 ?- P+ z8 n) q, s0 Y7 m- U127.0.0.1 viruslist.com6 U: ?9 v2 D7 l2 ^2 U; v9 u
127.0.0.1 viruslist.com$ n+ K: K) M* r
127.0.0.1 f-secure.com) s' V/ d7 C. L$ p
127.0.0.1 www.f-secure.com" N, a# a4 V4 L! q, Z3 a1 p
127.0.0.1 kaspersky.com. ^# m- j P9 U I# |$ C$ g
127.0.0.1 kaspersky-labs.com% C4 F3 T3 I4 T( l$ M- Z$ z( D
127.0.0.1 www.avp.com, l6 p/ \7 e$ V! S! Z4 g
127.0.0.1 www.kaspersky.com
* u. V+ |+ b: x( R+ v1 \8 v127.0.0.1 avp.com8 j- T8 ?! t/ ?" Q+ {
127.0.0.1 www.networkassociates.com
/ T' ]& _: i2 L' _: K6 J6 z' K4 s127.0.0.1 networkassociates.com
6 }8 @3 q% v0 }' r. ~8 [( B# q127.0.0.1 www.ca.com) ]+ j5 A7 K1 P& I& m; H
127.0.0.1 ca.com& b/ O' n# d3 g2 c+ K
127.0.0.1 mast.mcafee.com
7 m5 S$ Q) ~* A& U$ K127.0.0.1 my-etrust.com6 n/ y% W! w# K( W+ [
127.0.0.1 www.my-etrust.com
1 c3 y- U" ?( T& ?# b( D127.0.0.1 download.mcafee.com
3 I8 t5 t! L' E: B127.0.0.1 dispatch.mcafee.com
# a9 _1 }( d) u, ]127.0.0.1 secure.nai.com* B/ b9 i# u. ]! t
127.0.0.1 nai.com6 ?7 o7 W# N; n0 d* R! f
127.0.0.1 www.nai.com. Q. B% U8 C) q5 f: P& u
127.0.0.1 update.symantec.com* @) z# s: n' v' H/ f' A
127.0.0.1 updates.symantec.com2 @+ z+ P2 ^) M! g; p
127.0.0.1 us.mcafee.com6 |3 g9 M8 I, p: J3 C! i2 y5 c
127.0.0.1 liveupdate.symantec.com4 _; ]& q! Z+ G6 Y
127.0.0.1 customer.symantec.com
. ~# y/ r! \$ [: k- a9 S( E( M, D. X" j127.0.0.1 rads.mcafee.com1 x J$ R! H& \( K1 b6 S
127.0.0.1 trendmicro.com
+ p- y& L R0 n; E127.0.0.1 www.trendmicro.com
8 @2 F8 _& j4 }: r4 k/ a127.0.0.1 www.grisoft.com
; F5 I* l' ~1 Z" J+ b, W文件是系统目录下的drivers\etc\hosts 文件。+ V" ^/ ? ?4 z- R- w
- U& L" {, P5 R. g9 t
(4)终止进程:: l* }6 |% z% C' u& j$ z/ A6 ]
irun4.exe
) `& M. e$ [+ MSsate.exe
1 q* o- `% k# C Oi11r54n4.exe; d) ]% @3 ]8 @* }, C7 a" A
winsys.exessgrate.exe
' _ s1 h8 y3 m! jd3dupdate.exe
) o; w& R* m* n2 y/ f3 Bbbeagle.exerate.exe
# L- O3 |; ^8 s8 B& k2 O. b- g4 }
& C- ^8 A! Y6 D; y(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
! b2 P- h M0 h* Y2 c
7 z$ `+ y. d% Z# y3 F(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。0 j& \3 B6 L5 F1 x! n0 q
(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
1 N, h, ]% C0 u/ A$ q1 X
_7 {0 o6 k7 o& d4 T/ Q(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。 a( c, M ?/ u6 P) m" Y
7 ~( m! N8 p( p3 k; ~) Q 江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。
. s, x% z. M& w: x1 o8 N# }' S4 ~ / m6 O& _2 u y1 ~" y" Z
|
|