下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2135|回复: 6
打印 上一主题 下一主题

“震荡波”一波未平,“漏波”变种一波又起

[复制链接]
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-3 21:06:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技    - h- N( M1 B$ K! _% `) @
       
    & S8 J& Y' c0 Z   
    8 R7 a; f* t  D% k& w& b : Y% @$ A0 C/ |3 B9 Y
             
    ' c3 M/ J) H3 [5 u: |& S0 A! P; D
    9 C, {3 ^0 }. w* E" A# ^    5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。; ]: v' G2 y9 f' b: {' j+ _
    9 s) U6 }3 s& v: W( u% X. Q
      江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:
    / \& a( p( v  |3 z* w0 C1 b(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。
    - [7 K$ X% [' h3 _" `3 m0 A(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)8 y' `' Z3 a8 E
    WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.2 \8 l7 w! @2 [! u+ c9 t5 k
    (3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.- X, c' ]+ u2 D. l

    7 _, F9 C0 ]7 N  v8 v
    % ?( v3 v( _3 @& x* K, Y 该病毒具体特征如下:# D1 N- I- m+ O3 V) Y
    2 g5 J5 t, y% g7 B1 ^8 m. T
    (1)文件特征:6 c, o* C/ M4 u' P* f$ ?) g
    msiwin84.exe
    / i: Y; Y% c3 h+ |1 O% F5 D+ I修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
    : j+ G' _* |2 u% U: n, ]+ b! N; t
    5 t8 [  g* e2 i(2)注册表特征:
    0 `) `2 G3 r' b9 ]修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
    * l* |1 d7 t$ B* U) i4 LHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run7 j1 w) ]3 \  I) P) e
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices- `4 ^9 r+ y/ B: K

    & ?6 W. S  u* e3 M* o, ]$ _(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:
    , z( n; O: e: f0 H. h: M% q+ q127.0.0.1 www.symantec.com6 w- n8 v# ]* u; J4 K
    127.0.0.1 securityresponse.symantec.com  }; U" W$ \* J/ `) J
    127.0.0.1 symantec.com, I$ `5 P- Y* o! i
    127.0.0.1 www.sophos.com
    ( z5 l# `, B( q( e: {3 R127.0.0.1 sophos.com
    ) o4 u5 i6 p3 x/ y127.0.0.1 www.mcafee.com, O# V+ p+ g: C% d: K2 l3 I9 t' A
    127.0.0.1 mcafee.com
    4 f) e- b1 F& }5 b9 [127.0.0.1 liveupdate.symantecliveupdate.com
    . V$ `) Z1 Y0 t3 u, Z127.0.0.1 www.viruslist.com
    * R8 ?- P+ z8 n) q, s0 Y7 m- U127.0.0.1 viruslist.com6 U: ?9 v2 D7 l2 ^2 U; v9 u
    127.0.0.1 viruslist.com$ n+ K: K) M* r
    127.0.0.1 f-secure.com) s' V/ d7 C. L$ p
    127.0.0.1 www.f-secure.com" N, a# a4 V4 L! q, Z3 a1 p
    127.0.0.1 kaspersky.com. ^# m- j  P9 U  I# |$ C$ g
    127.0.0.1 kaspersky-labs.com% C4 F3 T3 I4 T( l$ M- Z$ z( D
    127.0.0.1 www.avp.com, l6 p/ \7 e$ V! S! Z4 g
    127.0.0.1 www.kaspersky.com
    * u. V+ |+ b: x( R+ v1 \8 v127.0.0.1 avp.com8 j- T8 ?! t/ ?" Q+ {
    127.0.0.1 www.networkassociates.com
    / T' ]& _: i2 L' _: K6 J6 z' K4 s127.0.0.1 networkassociates.com
    6 }8 @3 q% v0 }' r. ~8 [( B# q127.0.0.1 www.ca.com) ]+ j5 A7 K1 P& I& m; H
    127.0.0.1 ca.com& b/ O' n# d3 g2 c+ K
    127.0.0.1 mast.mcafee.com
    7 m5 S$ Q) ~* A& U$ K127.0.0.1 my-etrust.com6 n/ y% W! w# K( W+ [
    127.0.0.1 www.my-etrust.com
    1 c3 y- U" ?( T& ?# b( D127.0.0.1 download.mcafee.com
    3 I8 t5 t! L' E: B127.0.0.1 dispatch.mcafee.com
    # a9 _1 }( d) u, ]127.0.0.1 secure.nai.com* B/ b9 i# u. ]! t
    127.0.0.1 nai.com6 ?7 o7 W# N; n0 d* R! f
    127.0.0.1 www.nai.com. Q. B% U8 C) q5 f: P& u
    127.0.0.1 update.symantec.com* @) z# s: n' v' H/ f' A
    127.0.0.1 updates.symantec.com2 @+ z+ P2 ^) M! g; p
    127.0.0.1 us.mcafee.com6 |3 g9 M8 I, p: J3 C! i2 y5 c
    127.0.0.1 liveupdate.symantec.com4 _; ]& q! Z+ G6 Y
    127.0.0.1 customer.symantec.com
    . ~# y/ r! \$ [: k- a9 S( E( M, D. X" j127.0.0.1 rads.mcafee.com1 x  J$ R! H& \( K1 b6 S
    127.0.0.1 trendmicro.com
    + p- y& L  R0 n; E127.0.0.1 www.trendmicro.com
    8 @2 F8 _& j4 }: r4 k/ a127.0.0.1 www.grisoft.com
    ; F5 I* l' ~1 Z" J+ b, W文件是系统目录下的drivers\etc\hosts 文件。+ V" ^/ ?  ?4 z- R- w
    - U& L" {, P5 R. g9 t
    (4)终止进程:: l* }6 |% z% C' u& j$ z/ A6 ]
    irun4.exe
    ) `& M. e$ [+ MSsate.exe
    1 q* o- `% k# C  Oi11r54n4.exe; d) ]% @3 ]8 @* }, C7 a" A
    winsys.exessgrate.exe
    ' _  s1 h8 y3 m! jd3dupdate.exe
    ) o; w& R* m* n2 y/ f3 Bbbeagle.exerate.exe
    # L- O3 |; ^8 s8 B& k2 O. b- g4 }
    & C- ^8 A! Y6 D; y(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
    ! b2 P- h  M0 h* Y2 c
    7 z$ `+ y. d% Z# y3 F(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。0 j& \3 B6 L5 F1 x! n0 q
    (7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
    1 N, h, ]% C0 u/ A$ q1 X
      _7 {0 o6 k7 o& d4 T/ Q(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。  a( c, M  ?/ u6 P) m" Y

    7 ~( m! N8 p( p3 k; ~) Q   江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。   
    . s, x% z. M& w: x1 o8 N# }' S4 ~  / m6 O& _2 u  y1 ~" y" Z
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
     楼主| 发表于 2004-5-3 21:08:00 | 只看该作者
    打上本站发布的6个补丁即可防止此病毒
  • TA的每日心情
    开心
    2016-2-18 10:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    3
    发表于 2004-5-4 02:21:00 | 只看该作者
    以下是引用煎饼在2004-5-3 21:08:38的发言:) R1 k$ _4 |' \5 M( O! _- ^/ ]
    打上本站发布的6个补丁即可防止此病毒
    - u- F4 C8 \1 ^1 }/ n
    . x) D# Y( A7 a2 R
    是吗?3 @8 g$ h7 w& C9 F
    偶装了2 M- O1 C+ p- v! a) A! v, C' y# p5 a
    今天重装系统后就装了补丁
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    4
     楼主| 发表于 2004-5-4 12:33:00 | 只看该作者
    以下是引用西门寻欢在2004-5-4 2:21:55的发言:
    & u1 ]8 Z& l# }. N, A$ [1 X  ^* S; _[quote]以下是引用煎饼在2004-5-3 21:08:38的发言:! b' C( [9 U. x
    打上本站发布的6个补丁即可防止此病毒
    8 [: A0 E9 i/ P& \* o" {  t- p0 [$ G

    ' _3 X% g: t1 b- r0 V2 j
    & }: s  C+ E" R' h3 Q6 O# W 是吗?
    2 D1 a6 C9 W) l$ m 偶装了
    $ C# u  W+ e6 d  `& x 今天重装系统后就装了补丁+ ]5 S) }) T* c- G& @$ \
    [/quote]7 f, m# q7 R& q9 U- o  V3 t2 s

    7 g  h0 g& A- o* Y1 |  q持怀疑态度可以自己去考证

    该用户从未签到

    5
    发表于 2004-5-4 12:38:00 | 只看该作者
    这些病毒真让人烦心啊!只能小心为好.

    该用户从未签到

    6
    发表于 2004-5-4 13:17:00 | 只看该作者
    其实我是最讨厌打好多补丁的。。打得多,要影响速度,但是现在是不得不打啊。。。- j) V: z: e9 G  }, x
    连放火墙都开了

    该用户从未签到

    7
    发表于 2004-5-4 13:46:00 | 只看该作者
    真的是补丁年啊,不过我是有啥补丁就打啥补丁

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表