TA的每日心情 | 奋斗 昨天 10:07 |
---|
签到天数: 2385 天 [LV.Master]伴坛终老
|
www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技
' K/ O. c. U1 |2 _- G0 t' u ( D1 L- G1 a* a3 c% G& j
. L1 j( u' t+ d' U
$ e ~3 A# K1 @. }+ I- \4 `, S
8 k$ r) v- b% W& Y# ^
' D; k: o! A7 W! C# Z" t 5月2日,继“震荡波”病毒之后,又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获,该病毒英文名为Backdoor/LeakerBot,中文名为“漏波后门病毒”,病毒长度为138752字节,感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播,同时也通过雏鹰等蠕虫病毒留下的后门进行传播,病毒传播的主要途径利用了一系列WINDOWS系统漏洞。2 z6 G4 `. q' T& C, i# [
: W- `6 k4 K$ y a
江民反病毒专家介绍,“漏波”变种利用的主要包括以下三个漏洞:( ~/ ], B0 i; h6 v! V% Y
(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx),利用TCP的135端口,这点和冲击波病毒相同。- Z/ e3 x2 D5 h
(2)漏洞:http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)/ {% j! X; r: {4 h. z
WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx." x j# B/ t9 O. S5 K6 E
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
, R6 c! }% w% @' }! O. l$ v H& @% R. S& _7 ?% }% A; j: q% b
9 X- L4 W% U$ O) g) o 该病毒具体特征如下:
* w% p3 J; v6 D, H7 i' ~% T" y6 p; U5 b1 E5 | \1 S0 D" w+ n. A
(1)文件特征:
2 H* P) E- h1 y2 tmsiwin84.exe* M! |) ^4 u4 B8 Z4 Y
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
1 S! E$ ^$ J6 {' y6 `) H6 [3 \ D" \% U; x( L4 v1 V& L
(2)注册表特征:
! p# L% D. e- L修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是:Run\Microsoft Upate
9 c- N" \+ v4 v$ O; A" ~8 JHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
& `5 m# K5 }" o) s7 OHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices2 c9 i( w* f* i6 U3 J2 q9 y1 q
$ t+ D3 W6 {! ]& a3 Z8 l
(3)使得感染的机器不能上一些反病毒公司网站,具体修改的内容为:7 |( Q/ v x9 H. \. y
127.0.0.1 www.symantec.com
7 a, e$ {- A4 J ~127.0.0.1 securityresponse.symantec.com, n1 C+ b2 \$ P2 e" J6 e& M. y
127.0.0.1 symantec.com1 v; D5 n6 h# d2 M8 l+ z. L6 \6 B* m
127.0.0.1 www.sophos.com. I$ q8 C* o( B
127.0.0.1 sophos.com/ Q- w' R. M% {+ l
127.0.0.1 www.mcafee.com! B' c" a5 t' c. _# G& I2 s8 G
127.0.0.1 mcafee.com$ G1 t' y7 }6 r' V) B
127.0.0.1 liveupdate.symantecliveupdate.com
1 `: V$ h; }9 m Z5 R7 U127.0.0.1 www.viruslist.com
b7 D5 W( _- a127.0.0.1 viruslist.com% m* w* J& a1 a
127.0.0.1 viruslist.com
. V" N4 T5 s, M ?127.0.0.1 f-secure.com( w8 q% N2 `" C4 C7 R
127.0.0.1 www.f-secure.com' |: a2 Y5 t( a6 ]9 B3 b+ ~
127.0.0.1 kaspersky.com
2 [& Q7 e0 X3 P3 T, G127.0.0.1 kaspersky-labs.com
. N3 V2 x6 |& w9 x1 h4 q6 a127.0.0.1 www.avp.com4 u" u$ r3 }2 a. ` C( \. f
127.0.0.1 www.kaspersky.com
) L, s. ?: d- `+ @127.0.0.1 avp.com
1 N1 I" E9 h4 ^: J/ y* G4 |127.0.0.1 www.networkassociates.com0 N! U" v. M7 ?
127.0.0.1 networkassociates.com
& z- r, O4 V" O/ h, _' D( G7 w127.0.0.1 www.ca.com
, p1 \6 f4 {+ B. b* O5 E127.0.0.1 ca.com
( c* z/ v9 W* b) V+ v- G7 f! ^127.0.0.1 mast.mcafee.com
5 g$ I1 ^9 r5 P4 Z( f127.0.0.1 my-etrust.com
5 K! l* L5 y1 {1 L7 R127.0.0.1 www.my-etrust.com
# k( P5 x* r7 o0 t* v1 a' s& H5 d127.0.0.1 download.mcafee.com2 s8 V, u! X# z' T
127.0.0.1 dispatch.mcafee.com: s, B* X6 }: m- D0 G
127.0.0.1 secure.nai.com" \% A' w! h! U8 W- S; Q5 K
127.0.0.1 nai.com/ R( T+ k( ^ \/ _( }, q! S
127.0.0.1 www.nai.com% x! P; f& q% R" N: R
127.0.0.1 update.symantec.com
3 Z" g) i9 T, N; r ^ L* R127.0.0.1 updates.symantec.com0 n" T& o- M$ L# ^6 b
127.0.0.1 us.mcafee.com
* @" s2 }5 W$ B) o/ U127.0.0.1 liveupdate.symantec.com' u& y% z, U, l& r- @6 x
127.0.0.1 customer.symantec.com- t( Q' V" E6 P: Z# j
127.0.0.1 rads.mcafee.com) R( O- z3 {5 u/ F. o
127.0.0.1 trendmicro.com
; w$ n7 a) u4 v V6 D E$ U' g: o& y127.0.0.1 www.trendmicro.com
7 V) w/ }8 _( x, X" b3 H/ _) F/ U& Q127.0.0.1 www.grisoft.com
6 z6 z+ _" C) T0 k/ P7 O5 _3 f+ @* B文件是系统目录下的drivers\etc\hosts 文件。
" }) \* w6 K+ ~) @) R, M$ G! i$ l* Z% s5 Z9 P) K, H! ~
(4)终止进程: i" a1 z# u/ _0 V
irun4.exe0 I5 ?% Q9 p" z3 W! U9 P
Ssate.exe* Z) h+ B" C9 I+ v/ \. K
i11r54n4.exe) F8 q0 q/ S3 a/ h6 f# R* w# f
winsys.exessgrate.exe
; n# y( Q2 R( \2 d! |& q$ T$ x' td3dupdate.exe( F! O; O: l: v' U: }7 b
bbeagle.exerate.exe3 R6 s( q+ N' E) C9 R( N5 ~
- ~/ a! e( A5 }& j+ H
(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。+ L; _8 N H" U
. F( E6 Q. P/ D2 z
(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。' H7 k' ^* i, D! i* x
(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。$ ~8 i, }; B9 B+ Q3 B
2 ~: |. v! c7 x# [2 a* v" ?(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
0 g$ h4 U: m% v: p5 I
& g2 ^- w% g. f( P/ B, g 江民公司提醒广大用户,请及时关注江民网站最新动态,更新杀毒软件病毒库,打上系统漏洞补丁,即可有效防杀该病毒。
0 _( b, {: E/ |+ s; V2 ]2 |& W
. Z3 D' f6 z) A |
|