瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 警惕:狙击波(A、B)一起杀到 (转)

1   1  /  1  页   跳转

警惕:狙击波(A、B)一起杀到 (转)

收藏
CAJINCHEN
头像
初生襁褓狮
  • 帖子:375
  • 注册: 2005-07-30
  • 来自:
发表于: 2005-08-15 18:58 | 只看楼主 短消息 资料
字号: 1楼

警惕:狙击波(A、B)一起杀到 (转)



今天,2005年8月14日,在美国等国家开始被截获,8月15日,国内反病厂家先后接到用户求救,发现类似振荡波,希望大家能提供紧急预防:

——————————————————————————————————————————————
病毒名称:Worm.Zotob.a
病毒别名:
中文名称:狙击波
病毒类型:蠕虫
大  小:22,528 字节
威胁级别: ★★☆
影响系统: Windows 95, Windows 98, Windows Me, Windows NT,Windows 2000, Windows XP



病毒行为

该病毒通过MS05-039漏洞进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件.

1. 病毒将自身复制到以下目录:
%system%\botzor.exe

2. 在注册表中添加如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
以在每次启动时运行

3. 修改以下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自带的防火墙运行

4.通过MS05-039进行攻击
// -=PNP445=- //transfer complete to ip:

5.病毒会创建以下互斥量,以保证系统只一个进程运行
B-O-T-Z-O-R

6.病毒文件中含有以下作者信息
Botzor2005 By DiablO

7.病毒会链接
diabl0.turk*****s.net
网站的IRC频道,以接受病毒传播者的控制.

8. 修改Host文件
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

预防及解决方法:

  1、首先把MS05-039漏洞补丁给打上
  2、把反病毒软件更新到最新,进行全盘查杀,并开启监控

病毒名称:Worm.Zotob.b
病毒别名:
中文名称:狙击波变种B
中文名称:狙击波
病毒类型:蠕虫
大小:27,648 字节
威胁级别: ★★☆
影响系统: Windows 95, Windows 98, Windows Me, Windows NT,Windows 2000, Windows XP

病毒行为

该病毒为VC编写,Upack加壳的蠕虫病毒.通过ms05-039漏洞传播.它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降,网络堵塞
并修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会.

1.建立一个名为"B-O-T-Z-O-R"的互斥量,如果该互斥量存在,则表示本主机已经被病毒感染,直接退出.

2.在系统目录下释放文件csm.exe

3.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和
Software\Microsoft\Windows\CurrentVersion\RunServices上添加
csm Win Updates = csm.exe
使病毒能够随计算机启动而自动运行.

4. 修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4 来禁止Windows自带的防火墙运行

5.修改hosts文件,使用用户无法正常登录一些安全网站
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

5.通过ms05-039漏洞向其它机器发送溢出数据包来传播自身


预防及解决方法:

  1、首先把MS05-039漏洞补丁给打上
  2、把反病毒软件更新到最新,进行全盘查杀,并开启监控

原帖地址:http://www.kingzoo.com/bbs/read.php?tid=991&fpage=1
最后编辑2005-08-15 19:57:56
分享到:
gototop
 
bobo无极限
头像
初生襁褓狮
  • 帖子:12325
  • 注册: 2005-07-08
  • 来自:
发表于: 2005-08-15 19:41 | 短消息 资料
字号: 2楼

不错的,收藏
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-15 19:42 | 短消息 资料
字号: 3楼

打全补丁,就是最好的“警惕”。不打补丁?那就瞧好儿吧!
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-08-15 19:54 | 短消息 资料
字号: 4楼

已经加上其他信息一并添加到置顶的帖子中,谢谢!
gototop
 
拓海---
头像
初生襁褓狮
  • 帖子:52
  • 注册: 2005-08-08
  • 来自:
发表于: 2005-08-15 19:57 | 短消息 资料
字号: 5楼

那里有补丁的下载纳
gototop
 
CAJINCHEN
头像
初生襁褓狮
  • 帖子:375
  • 注册: 2005-07-30
  • 来自:
发表于: 2005-08-15 19:57 | 只看楼主 短消息 资料
字号: 6楼

http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT