“贼头”(ZOTOB)变种和“暴徒”病毒相继到来,注意了【转贴】

趋势今天又迅速发布了“贼头”变种和“暴徒”(WORM_ZOTOB.D&WORM_RBOT.CBQ)这两种蠕虫病毒联合作案的中度风险警报。他们仍然利用微软的即插即用服务漏洞进行攻击,会让用户不断的关机和开机。 “每隔几分钟就有一个变种出现,我们还在整理感染的案例报告,这是全球性的病毒。”趋势科技中国技术支持经理李晶表示。

目前,趋势科技已经收到了来自美国、巴西、中国等地的病毒报告。所有这些蠕虫都是利用微软的随插即用功能漏洞,微软在上周所发出的每月修补程序中放入该漏洞的解决方案。微软还将该漏洞列为最严重的「critical」等级。据说美国许多企业的计算机在这波攻击中受到波及,包括CNN有线电视、ABC与纽约时报都遭袭击。纽约时报方面表示,该公司遭到病毒入侵,但还好没有影响出报时间。“我们的网站没有受到影响,新闻出报也相当正常。”一位代表表示,他不愿透露受感染的严重程度,仅表示纽约时报的内部系统「还可以运作」。 微软已经开始调查此一蠕虫感染事件,该公司在声明稿中将暴徒病毒「Worm_Rbot.CEQ」(Rbot变种)列为此次为患的祸首。
趋势科技全球防毒研发暨技术支持中心 TrendLabs 分析指出,贼头病种病毒和暴徒病毒的传播行为只针对Windows 2000, XP, 和 Server 2003系统,因为微软的即插即用服务漏洞只存在于这些系统上。
贼头变种病毒会扫描存在漏洞系统的IP地址,随后通过端口445连接到该机器。如果该端口打开,病毒就会攻击目标机器。如果攻击失败或该机器的445端口未打开,病毒就会将另外一个IP地址的机器作为目标机器。另外,病毒还会在受感染机器上建立一个FTP服务器,随后该机器在端口7778上为其他机器提供病毒体下载。
该病毒还具有后门功能,它打开一个任意的端口并连接到一个网络聊天室(IRC服务器)。一旦连接成功,它就会加入进去,使远程恶意用户可以在受感染机器上执行恶意行为,这些行为包括窃取系统信息。通过这种方式可以使远程恶意用户实现对受感染系统的虚拟控制,危害系统的安全。
同时,该病毒的后门功能还包括获取包括CPU速度和内存大小等在内的系统信息。另外,该病毒使用了反“除虫”技术,它还利用了现在流行于Blog的连接工具RSS来搜集网站信息,随后通过它建立的网络聊天室连接任意发布这些网站的信息。这样做就可以迷惑聊天室管理员,较之前的ZOTOB.A病毒它则更加隐蔽。
暴徒病毒RBOT.CBQ则在Windows系统文件夹中产生自身的拷贝文件WINTBP.EXE。该病毒同样利用微软的即插即用服务通过网络进行传播。

专杀工具下载地址:
ftp://ftp.trendmicro.com.cn/Support/Public/清毒工具/通用工具/TSC
最后编辑2005-08-17 17:17:16