“狙击波”专题 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 Rising茶馆 “狙击波”专题

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

“狙击波”专题

地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方	发表于： 2005-08-18 20:31 \| 只看楼主短消息资料字号：小中大 11楼在这儿下载瑞星的专杀 http://it.rising.com.cn/service/technology/rav_Zotob.htm
地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方

地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方	发表于： 2005-08-19 16:33 \| 只看楼主短消息资料字号：小中大 12楼继“狙击波(Worm.Zotob.A)”病毒及变种“Worm.Zotob.B”之后，金山毒霸反病毒中心在8月16日又率先截获了其最新变种“Worm.Zotob.C”。　　新的变种除了通过MS05-039漏洞外，还可利用微软去年公布的“MS04-007”漏洞进行攻击，并可通过邮件进行广泛地传播，其危害程度与当年的“震荡波”相似，中毒用户的电脑将会出现不断重启、系统不稳定等情况，严重的甚至导致系统崩溃。　　据金山公司反病毒专家介绍，该新变种可通过主题为“Warning!! 、Warning 、Hello 、Confirmed、Important!”的邮件传播病毒，邮件内容为：We found a photo of you in ... ；That's your photo!!? ；0K here is it!......等，不明真相的用户极易中招！从而使黑客达到远程控制用户电脑的目的。　　金山公司反病毒专家提醒广大用户，该“狙击波”变种病毒对用户计算机安全的威胁比源病毒更甚，若收到上述可疑邮件一定要谨慎对待。同时应及时下载最新的系统安全补丁，切实做好防范工作，　　金山毒霸2005的主动漏洞修复功能可扫描操作系统及各种应用软件的漏洞，当新的安全漏洞出现时，金山毒霸会下载漏洞信息和补丁，经扫描程序检查后自动帮助用户修复。没有安装金山毒霸的用户，可以登陆db.kingsoft.com免费下载最新版金山毒霸2005组合装，也可使用金山毒霸在线的查毒、杀毒功能。
地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方

地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方	发表于： 2005-08-19 16:35 \| 只看楼主短消息资料字号：小中大 13楼病毒名称：Worm.Zotob.c 病毒别名：处理时间：2005-08-16 　中文名称：狙击波变种C 病毒类型：未知该病毒通过MS05-039漏洞和MS04-007漏洞,以及邮件进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件. 1. 病毒将自身复制到以下目录： %system%\per.exe 2. 在注册表中添加如下键值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService "WINDOWS SYSTEM" = "per.exe" 以在每次启动时运行 3. 修改以下服务 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess "Start" = 0x00000004 以阻止WinXP自带的防火墙运行 4.通过MS05-039进行攻击 // -=PNP=- //transfer complete to ip: 5.通过MS04-007漏洞进行传播 6.病毒会创建以下互斥量,以保证系统只一个进程运行 B-O-T-Z-O-R 7.病毒文件中含有以下作者信息 Botzor2005 By DiablO 8.病毒会链接 diabl0.turk***s.net 网站的IRC频道,以接受病毒传播者的控制. 9. 修改Host文件 Botzor2 pnp+asn+mail spread. Greetz to good friend Coder. Based On HellBot3 f-secure,sophos ok wait bitchs!!! n127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com 10. 从以下扩展名的文件中搜索电子邮件地址 txt htm sht jsp cgi xml php asp dbx tbb adb pl html wab 11. 去除含有以下字符的邮件地址 abuse security admin support contact webmaster info samples postmaster webmaster noone nobody nothing anyone someone your you me bugs rating site contact soft no somebody privacy service help not submit feste ca gold-certs the.bat page syma icrosof msn. hotmail panda sopho borlan inpris example mydomai nodomai ruslis .gov gov. .mil foo. unix math bsd mit.e gnu fsf. ibm.com google kernel linux fido usenet iana ietf rfc-ed sendmail arin. ripe. isi.e isc.o secur acketst pgp tanford.e utgers.ed mozilla icrosoft support ntivi unix bsd linux listserv certific google accoun 12.邮件主题为 Warning!! Warning** Hello Confirmed... Important! 13.邮件内容为以下之一： looooool We found a photo of you in ... That's your photo!!? hey!! 0K here is it! 14.邮件附件名为以下之一： photo your_photo image picture sample loool webcam_photo 15.邮件附件后缀名为以下之一： pif scr exe cmd bat
地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方

地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方	发表于： 2005-08-19 16:36 \| 只看楼主短消息资料字号：小中大 14楼病毒名称：Worm.Zotob.a 病毒别名：处理时间：2005-08-15 　中文名称：狙击波病毒类型：未知威胁级别：　影响系统：病毒行为该病毒通过MS05-039漏洞进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件. 1. 病毒将自身复制到以下目录： %system%\botzor.exe 2. 在注册表中添加如下键值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService "WINDOWS SYSTEM" = "botzor.exe" 以在每次启动时运行 3. 修改以下服务 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess "Start" = 0x00000004 以阻止WinXP自带的防火墙运行 4.通过MS05-039进行攻击 // -=PNP445=- //transfer complete to ip: 5.病毒会创建以下互斥量,以保证系统只一个进程运行 B-O-T-Z-O-R 6.病毒文件中含有以下作者信息 Botzor2005 By DiablO 7.病毒会链接 diabl0.turk*****s.net 网站的IRC频道,以接受病毒传播者的控制. 8. 修改Host文件 Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3 MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! n127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com
地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方

地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方	发表于： 2005-08-19 16:37 \| 只看楼主短消息资料字号：小中大 15楼病毒名称：Worm.Zotob.b 病毒别名：处理时间：2005-08-15 　中文名称：狙击波变种B 病毒类型：未知威胁级别：　影响系统：病毒行为该病毒为VC编写,Upack加壳的蠕虫病毒.通过ms05-039漏洞传播.它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降,网络堵塞并修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会. 1.建立一个名为"B-O-T-Z-O-R"的互斥量,如果该互斥量存在,则表示本主机已经被病毒感染,直接退出. 2.在系统目录下释放文件csm.exe 3.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和 Software\Microsoft\Windows\CurrentVersion\RunServices上添加 csm Win Updates = csm.exe 使病毒能够随计算机启动而自动运行. 4. 修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4 来禁止Windows自带的防火墙运行 5.修改hosts文件,使用用户无法正常登录一些安全网站 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 pandasoftware.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.microsoft.com 127.0.0.1 microsoft.com 127.0.0.1 www.virustotal.com 127.0.0.1 virustotal.com 127.0.0.1 www.amazon.com 127.0.0.1 www.amazon.co.uk 127.0.0.1 www.amazon.ca 127.0.0.1 www.amazon.fr 127.0.0.1 www.paypal.com 127.0.0.1 paypal.com 127.0.0.1 moneybookers.com 127.0.0.1 www.moneybookers.com 127.0.0.1 www.ebay.com 127.0.0.1 ebay.com 5.通过ms05-039漏洞向其它机器发送溢出数据包来传播自身
地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方

地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方	发表于： 2005-08-19 16:41 \| 只看楼主短消息资料字号：小中大 16楼 Windows2000用户请关闭445端口,打好补丁.
地区性横据古稀狮帖子:10228 注册: 2005-04-10 来自:鸟不拉屎的地方

Susanna 初生襁褓狮帖子:22325 注册: 2004-12-20 来自:	发表于： 2005-08-19 18:47 \| 短消息资料字号：小中大 17楼不错!!
Susanna 初生襁褓狮帖子:22325 注册: 2004-12-20 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT