瑞星卡卡安全论坛

从14日开始在“微软”电脑用户蔓延的蠕虫病毒16日进一步加剧，美国CNN电视台、美联社、《纽约时报》等传媒巨头以及建筑机械巨头卡特彼勒等大型企业的计算机系统相继受到感染。

　　这种名为“Zotob”的病毒及其病毒变种会让感染病毒的电脑毫无理由地自动关机，或莫名其妙地不停重启。其中装载“Windows2000”操作系统的电脑用户影响最为严重。

　　电脑安全专家指出，此次病毒攻击的特点是集中攻击拥有庞大电脑网络系统的大型公司，个人电脑用户受到的影响较小。

　　微软公司一周前在其官方网站发布了遏制病毒感染的“补丁”，以及如何清理受病毒感染系统的指示。

　　专家们称，病毒造成的影响较为有限，因为病毒主要是阻塞网络，或偶尔重启受感染电脑。同时，“Windows2000”操作系统已使用了五年之久，微软公司已推出数个新的版本以及安全防范措施，这将进一步缩小病毒造成的损失。

　　电脑安全专家称，使用“Windows2003”与“WindowsXP”版本的电脑不太会受到病毒影响，但也有可能受到一些远程控制者或内部系统受感染电脑的影响。

专杀工具
http://forum.jiangmin.com/kvrt.rar

附件: 4803152005818201238.jpg

病毒名称：极速波（I-Worm/Zobot）
病毒类型：蠕虫、后门
病毒大小：22528字节
传播方式：网络
危害程度：★★★

2005年8月15日，江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”（MS05-039）的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。

病毒具体技术特征如下：
1. 病毒运行后，将创建下列文件：
%SystemDir%\botzor.exe, 22528字节







2. 在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
这样，在Windows启动时，病毒就可以自动执行。







3. 通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。

4. 在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。






5. 修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并有下列文本：
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

针对该病毒，KV杀毒软件在8月15日升级病毒库后可以查杀。江民公司提醒广大用户，请注意及时升级病毒库，开启实时监控，立刻安装微软的安全补丁。保护您的系统不受此病毒的威胁。

此病毒金山称"狙击波",江民称"极速波",实为同病毒.

微软漏洞发布一周即被病毒利用，病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀！

      2005年8月15日，离微软发布漏洞公告不过一周时间，江民反病毒中心截获一个利用微软"即插即用服务代码执行漏洞"（MS05-039）的蠕虫“极速波”病毒I-Worm/Zobot。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。而就在昨天，江民反病毒中心刚刚发布预警，提醒广大电脑用户提访利用微软最新漏洞的病毒出现。

      病毒运行后，将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe

这样，在Windows启动时，病毒就可以自动执行。


    “极速波”病毒通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

    该病毒的危害还在于，病毒会修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战：第一个发现的反病毒软件 将在24小时内遭到“剿杀”。（MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!）

    针对该病毒，江民KV2005杀毒软件8月15日升级病毒库后可以查杀。江民公司提醒广大用户，请注意及时升级病毒库，开启实时监控，立刻安装微软的安全补丁，保护您的系统不受此病毒的威胁。

2005年8月15日，江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”（MS05-039）的蠕虫病毒I-Worm/Zobot。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。截止8月17日，江民客服中心以及技术支持信箱和病毒自动监控系统已接到百余例用户求助。

  针对该病毒，江民反病毒专家提出了手动清除和自动杀毒两种办法。

一、 自动杀毒：及时下载安装漏洞补丁，升级杀毒软件病毒库，开启病毒实时监控，特别木马/注册表监视，即可确保不受该病毒侵害。

二、 手动杀毒办法：

1、 在任务管理器里面结束botzor.exe进程

2、 运行REGEDIT，打开注册表编辑器，删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe

3、将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。

  此外，专家建议，使用江民KV2005“未知病毒克星”以及“木马一扫光”组件，也可对病毒进行有效的主动防御。

  微软补丁下载地址：
http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx
  江民专杀工具下载地址：
http://update2.jiangmin.com/kvrt.exe
http://forum.jiangmin.com/KVRT.RAR

最好用1楼方法对付它!

继微软8月9日发布了6个安全漏洞补丁之后，国内外黑客纷纷公布利用这些最新漏洞的攻击程序。国内最大的反病毒厂商江民科技于8月12日发布了预警，指出利用Windows即插即用远程代码执行漏洞（MS05-039）的程序潜在威胁更大，如果成功利用该漏洞，甚至可能出现具有像“冲击波”和“震荡波”病毒一样的传播能力的恶意蠕虫。距离江民发布的预警仅仅两天，8月14日，就出现了利用MS05-039漏洞的蠕虫病毒“极速波”I-Worm/Zobot，该病毒除具备冲击波震荡波的传播能力外，还可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。江民反病毒专家日前对“三波”病毒进行了对比分析。



    利用漏洞速度比较
  自2005年8月9日，微软发布MS05-039（即插即用服务远程代码执行漏洞）安全更新程序，仅仅5天就出现了利用该漏洞传播的蠕虫病毒——“极速波”。而2004年4月30日爆发的震荡波病毒，和MS04-011（2004年4月13日）相隔17天。相较于前两者，冲击波出现距离相关漏洞发布的时间最长，为26天。

  传播能力比较
  极速波和冲击波、震荡波一样，都可以利用系统的漏洞进行主动传播，但极速波的传播能力稍逊。对于Windows 2000用户，三者同样可怕；对于Windows XP用户来说，类似极速波的病毒需要知道目标计算机的管理员帐号和密码才能进行感染。不过，鉴于很多Windows XP用户Administrator帐号没有设置密码的实际情况，极速波及其后续变种对这些XP用户的威胁和冲击波、震荡波病毒同样显著。

  病毒危害性比较
  极速波是在“麦涛”病毒的基础上，增加利用MS05-039漏洞的功能而编写成的。除了会向冲击波、震荡波病毒那样造成系统崩溃、倒计时重启现象外，它还可以从IRC接受黑客命令，导致中毒计算机可以被黑客完全控制。

  嚣张程度比较
  极速波相较于冲击波和震荡波更加猖狂，它对反病毒厂商提出公开挑战，扬言：第一个发现的反病毒软件 将在24小时内遭到“剿杀”（MSG to avs: the first av who detect this worm will be the first killed in the
next 24hours!!!）。

  有鉴于冲击波和震荡波的大规模爆发，专家指出“极速波”很有可能还会出现新的变种，江民反病毒专家建议广大用户，立即运行Windows更新程序，安装微软补丁，同时，注意及时升级江民杀毒软件KV2005杀毒软件，以免受到恶意代码和恶性蠕虫的侵害。

[快讯]8月17日，瑞星全球反病毒监测网又截获Zotob蠕虫病毒的三个变种，分别是Worm.Zotob.D/E/F，它们同样利用微软的MS05-039漏洞，可能造成中毒电脑频繁重启。尽管Zotob蠕虫出现了很多变种，但根据瑞星客户服务中心和病毒疫情监测网的统计，Zotob蠕虫在中国大陆地区的疫情趋于缓和。

    目前瑞星病毒疫情监测网对该病毒的疫情判定“初级危险”（黄色）。瑞星的数据表明，16日14:30至17日10：00，共有7个企业网络的感染报告，另有126个个人用户求助，这些用户采用的全部是Win2000操作系统。

    而在国外，Zotob蠕虫疫情要严重得多，美国国会、美国有线电视台（CNN）、美国广播公司（ABC）、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的袭击，部分网络瘫痪。

    记者从瑞星了解到，国内尚无重要政府机构和重点企业网络的感染报告。瑞星反病毒专家刘刚介绍说，在短短的三天内，Zotob蠕虫已经相继出现了5个变种，在北美、欧洲和东亚一些地区肆虐。被这些变种病毒感染的电脑会出现频繁重启等现象，同时会被开设后门，被黑客进行远程控制。

    瑞星提供的数据表明，被病毒攻击的多数是防范措施不够严格的中小企业网络和个人用户。“我国企业的局域网应用环境、互联网环境跟国外有所区别，这可能是Zotob蠕虫在国内国外影响不同的原因。”瑞星反病毒专家刘刚说，“今年年初爆发的‘性感烤鸡’，就只在东亚的一些地区发作比较厉害，而在欧美没有造成很大影响。”

    针对Zotob蠕虫病毒新出现的3个变种，瑞星公司已经进行了紧急升级。由于有些遭病毒攻击的电脑会频繁重启，使用户无法及时打补丁、杀毒，瑞星反病毒专家建议采取以下措施：

1、 启动瑞星个人防火墙，添加新规则，关闭TCP 139、445端口，这样电脑就不会重启。
2、 去微软的网站打好05-039补丁。
3、 升级瑞星软件到17.40.21版本，打开杀毒软件的实时监控功能。

    同时，瑞星反病毒专家也提醒广大局域网管理员，近一段时间网上还可能出现Zotob蠕虫的更多变种，或者利用微软漏洞的其它蠕虫病毒。因此，网络管理人员应该注意瑞星网站发布的安全公告，并登陆瑞星病毒疫情监测网了解病毒的实时动态，为局域网制定相应的安全防护措施。

在这儿下载瑞星的专杀
http://it.rising.com.cn/service/technology/rav_Zotob.htm

继“狙击波(Worm.Zotob.A)”病毒及变种“Worm.Zotob.B”之后，金山毒霸反病毒中心在8月16日又率先截获了其最新变种“Worm.Zotob.C”。


　　新的变种除了通过MS05-039漏洞外，还可利用微软去年公布的“MS04-007”漏洞进行攻击，并可通过邮件进行广泛地传播，其危害程度与当年的“震荡波”相似，中毒用户的电脑将会出现不断重启、系统不稳定等情况，严重的甚至导致系统崩溃。




　　据金山公司反病毒专家介绍，该新变种可通过主题为“Warning!! 、**Warning** 、Hello 、Confirmed、Important!”的邮件传播病毒，邮件内容为：We found a photo of you in ... ；That's your photo!!? ；0K here is it!......等，不明真相的用户极易中招！从而使黑客达到远程控制用户电脑的目的。

　　金山公司反病毒专家提醒广大用户，该“狙击波”变种病毒对用户计算机安全的威胁比源病毒更甚，若收到上述可疑邮件一定要谨慎对待。同时应及时下载最新的系统安全补丁，切实做好防范工作，




　　金山毒霸2005的主动漏洞修复功能可扫描操作系统及各种应用软件的漏洞，当新的安全漏洞出现时，金山毒霸会下载漏洞信息和补丁，经扫描程序检查后自动帮助用户修复。没有安装金山毒霸的用户，可以登陆db.kingsoft.com免费下载最新版金山毒霸2005组合装，也可使用金山毒霸在线的查毒、杀毒功能。

病毒名称：Worm.Zotob.c 病毒别名： 处理时间：2005-08-16

　中文名称：狙击波变种C 病毒类型：未知
该病毒通过MS05-039漏洞和MS04-007漏洞,以及邮件进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件.


1. 病毒将自身复制到以下目录：
%system%\per.exe

2. 在注册表中添加如下键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "per.exe"
以在每次启动时运行

3. 修改以下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自带的防火墙运行

4.通过MS05-039进行攻击
// -=PNP=- //transfer complete to ip:

5.通过MS04-007漏洞进行传播

6.病毒会创建以下互斥量,以保证系统只一个进程运行
B-O-T-Z-O-R

7.病毒文件中含有以下作者信息
Botzor2005 By DiablO

8.病毒会链接
diabl0.turk*****s.net
网站的IRC频道,以接受病毒传播者的控制.

9. 修改Host文件
Botzor2 pnp+asn+mail spread. Greetz to good friend Coder. Based On HellBot3
f-secure,sophos ok wait bitchs!!!
n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

10. 从以下扩展名的文件中搜索电子邮件地址
txt
htm
sht
jsp
cgi
xml
php
asp
dbx
tbb
adb
pl
html
wab
11. 去除含有以下字符的邮件地址
abuse
security
admin
support
contact
webmaster
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun

12.邮件主题为
Warning!!
**Warning**
Hello
Confirmed...
Important!

13.邮件内容为以下之一：
looooool
We found a photo of you in ...
That's your photo!!?
hey!!
0K here is it!

14.邮件附件名为以下之一：
photo
your_photo
image
picture
sample
loool
webcam_photo

15.邮件附件后缀名为以下之一：
pif
scr
exe
cmd
bat

病毒名称：Worm.Zotob.a 病毒别名： 处理时间：2005-08-15

　中文名称：狙击波 病毒类型：未知 威胁级别： 

　影响系统：



病毒行为

该病毒通过MS05-039漏洞进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件.

1. 病毒将自身复制到以下目录：
%system%\botzor.exe

2. 在注册表中添加如下键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
以在每次启动时运行

3. 修改以下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自带的防火墙运行

4.通过MS05-039进行攻击
// -=PNP445=- //transfer complete to ip:

5.病毒会创建以下互斥量,以保证系统只一个进程运行
B-O-T-Z-O-R

6.病毒文件中含有以下作者信息
Botzor2005 By DiablO

7.病毒会链接
diabl0.turk*****s.net
网站的IRC频道,以接受病毒传播者的控制.

8. 修改Host文件
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

病毒名称：Worm.Zotob.b 病毒别名： 处理时间：2005-08-15

　中文名称：狙击波变种B 病毒类型：未知 威胁级别： 

　影响系统：



病毒行为

该病毒为VC编写,Upack加壳的蠕虫病毒.通过ms05-039漏洞传播.它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降,网络堵塞
并修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会.

1.建立一个名为"B-O-T-Z-O-R"的互斥量,如果该互斥量存在,则表示本主机已经被病毒感染,直接退出.

2.在系统目录下释放文件csm.exe

3.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和
Software\Microsoft\Windows\CurrentVersion\RunServices上添加
csm Win Updates = csm.exe
使病毒能够随计算机启动而自动运行.

4. 修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4 来禁止Windows自带的防火墙运行

5.修改hosts文件,使用用户无法正常登录一些安全网站
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

5.通过ms05-039漏洞向其它机器发送溢出数据包来传播自身

Windows2000用户请关闭445端口,打好补丁.

不错!!