下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2136|回复: 6
打印 上一主题 下一主题

“震荡波”一波未平,“漏波”变种一波又起

[复制链接]
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-3 21:06:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
    ' K/ O. c. U1 |2 _- G0 t' u    ( D1 L- G1 a* a3 c% G& j
       
    . L1 j( u' t+ d' U
    $ e  ~3 A# K1 @. }+ I- \4 `, S         
    8 k$ r) v- b% W& Y# ^
    ' D; k: o! A7 W! C# Z" t    5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。2 z6 G4 `. q' T& C, i# [
    : W- `6 k4 K$ y  a
      江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:( ~/ ], B0 i; h6 v! V% Y
    (1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。- Z/ e3 x2 D5 h
    (2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)/ {% j! X; r: {4 h. z
    WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx." x  j# B/ t9 O. S5 K6 E
    (3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
    , R6 c! }% w% @' }! O. l$ v  H& @% R. S& _7 ?% }% A; j: q% b

    9 X- L4 W% U$ O) g) o 该病毒具体特征如下:
    * w% p3 J; v6 D, H7 i' ~% T" y6 p; U5 b1 E5 |  \1 S0 D" w+ n. A
    (1)文件特征:
    2 H* P) E- h1 y2 tmsiwin84.exe* M! |) ^4 u4 B8 Z4 Y
    修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
    1 S! E$ ^$ J6 {' y6 `) H6 [3 \  D" \% U; x( L4 v1 V& L
    (2)注册表特征:
    ! p# L% D. e- L修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
    9 c- N" \+ v4 v$ O; A" ~8 JHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    & `5 m# K5 }" o) s7 OHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices2 c9 i( w* f* i6 U3 J2 q9 y1 q
    $ t+ D3 W6 {! ]& a3 Z8 l
    (3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:7 |( Q/ v  x9 H. \. y
    127.0.0.1 www.symantec.com
    7 a, e$ {- A4 J  ~127.0.0.1 securityresponse.symantec.com, n1 C+ b2 \$ P2 e" J6 e& M. y
    127.0.0.1 symantec.com1 v; D5 n6 h# d2 M8 l+ z. L6 \6 B* m
    127.0.0.1 www.sophos.com. I$ q8 C* o( B
    127.0.0.1 sophos.com/ Q- w' R. M% {+ l
    127.0.0.1 www.mcafee.com! B' c" a5 t' c. _# G& I2 s8 G
    127.0.0.1 mcafee.com$ G1 t' y7 }6 r' V) B
    127.0.0.1 liveupdate.symantecliveupdate.com
    1 `: V$ h; }9 m  Z5 R7 U127.0.0.1 www.viruslist.com
      b7 D5 W( _- a127.0.0.1 viruslist.com% m* w* J& a1 a
    127.0.0.1 viruslist.com
    . V" N4 T5 s, M  ?127.0.0.1 f-secure.com( w8 q% N2 `" C4 C7 R
    127.0.0.1 www.f-secure.com' |: a2 Y5 t( a6 ]9 B3 b+ ~
    127.0.0.1 kaspersky.com
    2 [& Q7 e0 X3 P3 T, G127.0.0.1 kaspersky-labs.com
    . N3 V2 x6 |& w9 x1 h4 q6 a127.0.0.1 www.avp.com4 u" u$ r3 }2 a. `  C( \. f
    127.0.0.1 www.kaspersky.com
    ) L, s. ?: d- `+ @127.0.0.1 avp.com
    1 N1 I" E9 h4 ^: J/ y* G4 |127.0.0.1 www.networkassociates.com0 N! U" v. M7 ?
    127.0.0.1 networkassociates.com
    & z- r, O4 V" O/ h, _' D( G7 w127.0.0.1 www.ca.com
    , p1 \6 f4 {+ B. b* O5 E127.0.0.1 ca.com
    ( c* z/ v9 W* b) V+ v- G7 f! ^127.0.0.1 mast.mcafee.com
    5 g$ I1 ^9 r5 P4 Z( f127.0.0.1 my-etrust.com
    5 K! l* L5 y1 {1 L7 R127.0.0.1 www.my-etrust.com
    # k( P5 x* r7 o0 t* v1 a' s& H5 d127.0.0.1 download.mcafee.com2 s8 V, u! X# z' T
    127.0.0.1 dispatch.mcafee.com: s, B* X6 }: m- D0 G
    127.0.0.1 secure.nai.com" \% A' w! h! U8 W- S; Q5 K
    127.0.0.1 nai.com/ R( T+ k( ^  \/ _( }, q! S
    127.0.0.1 www.nai.com% x! P; f& q% R" N: R
    127.0.0.1 update.symantec.com
    3 Z" g) i9 T, N; r  ^  L* R127.0.0.1 updates.symantec.com0 n" T& o- M$ L# ^6 b
    127.0.0.1 us.mcafee.com
    * @" s2 }5 W$ B) o/ U127.0.0.1 liveupdate.symantec.com' u& y% z, U, l& r- @6 x
    127.0.0.1 customer.symantec.com- t( Q' V" E6 P: Z# j
    127.0.0.1 rads.mcafee.com) R( O- z3 {5 u/ F. o
    127.0.0.1 trendmicro.com
    ; w$ n7 a) u4 v  V6 D  E$ U' g: o& y127.0.0.1 www.trendmicro.com
    7 V) w/ }8 _( x, X" b3 H/ _) F/ U& Q127.0.0.1 www.grisoft.com
    6 z6 z+ _" C) T0 k/ P7 O5 _3 f+ @* B文件是系统目录下的drivers\etc\hosts 文件。
    " }) \* w6 K+ ~) @) R, M$ G! i$ l* Z% s5 Z9 P) K, H! ~
    (4)终止进程:  i" a1 z# u/ _0 V
    irun4.exe0 I5 ?% Q9 p" z3 W! U9 P
    Ssate.exe* Z) h+ B" C9 I+ v/ \. K
    i11r54n4.exe) F8 q0 q/ S3 a/ h6 f# R* w# f
    winsys.exessgrate.exe
    ; n# y( Q2 R( \2 d! |& q$ T$ x' td3dupdate.exe( F! O; O: l: v' U: }7 b
    bbeagle.exerate.exe3 R6 s( q+ N' E) C9 R( N5 ~
    - ~/ a! e( A5 }& j+ H
    (5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。+ L; _8 N  H" U
    . F( E6 Q. P/ D2 z
    (6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。' H7 k' ^* i, D! i* x
    (7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。$ ~8 i, }; B9 B+ Q3 B

    2 ~: |. v! c7 x# [2 a* v" ?(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
    0 g$ h4 U: m% v: p5 I
    & g2 ^- w% g. f( P/ B, g   江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。   
    0 _( b, {: E/ |+ s; V2 ]2 |& W  
    . Z3 D' f6 z) A
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    2
     楼主| 发表于 2004-5-3 21:08:00 | 只看该作者
    打上本站发布的6个补丁即可防止此病毒
  • TA的每日心情
    开心
    2016-2-18 10:58
  • 签到天数: 1 天

    [LV.1]初来乍到

    3
    发表于 2004-5-4 02:21:00 | 只看该作者
    以下是引用煎饼在2004-5-3 21:08:38的发言:9 S' O2 a& r# _* U( j& X3 r  s" h
    打上本站发布的6个补丁即可防止此病毒

    & g0 A8 _2 t" }3 U- H% [; `+ @! w/ ]
    是吗?- L" t- @1 B$ L' e
    偶装了# ?+ e% D/ v6 _3 p9 C; n' |
    今天重装系统后就装了补丁
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    4
     楼主| 发表于 2004-5-4 12:33:00 | 只看该作者
    以下是引用西门寻欢在2004-5-4 2:21:55的发言:
    7 c0 [. W3 e* A5 a: x5 f8 f[quote]以下是引用煎饼在2004-5-3 21:08:38的发言:, _) x+ Y5 I9 @& ^3 m3 h& N4 y
    打上本站发布的6个补丁即可防止此病毒
    + ~, l2 _$ x# S' w2 ?8 c

    0 _3 W6 ~; P0 V1 Y2 D& R8 c+ _# X. C0 l2 U: \" f' v0 c1 `9 ~. K
    是吗?5 ^" m3 l+ ?/ {
    偶装了
    / M7 u" M* P0 ^2 z: X$ |0 ~ 今天重装系统后就装了补丁. K& Z* |& y1 [  L
    [/quote]% Y) |# P' @/ l6 X* z. N6 t

    + v# I- L! @2 R9 t- b持怀疑态度可以自己去考证

    该用户从未签到

    5
    发表于 2004-5-4 12:38:00 | 只看该作者
    这些病毒真让人烦心啊!只能小心为好.

    该用户从未签到

    6
    发表于 2004-5-4 13:17:00 | 只看该作者
    其实我是最讨厌打好多补丁的。。打得多,要影响速度,但是现在是不得不打啊。。。6 F2 z, j& T( d/ t( a) n6 p2 C
    连放火墙都开了

    该用户从未签到

    7
    发表于 2004-5-4 13:46:00 | 只看该作者
    真的是补丁年啊,不过我是有啥补丁就打啥补丁

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表