12   1  /  2  页   跳转

“狙击波”专题

收藏
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:09 | 只看楼主 短消息 资料
字号: 1楼

“狙击波”专题

从14日开始在“微软”电脑用户蔓延的蠕虫病毒16日进一步加剧,美国CNN电视台、美联社、《纽约时报》等传媒巨头以及建筑机械巨头卡特彼勒等大型企业的计算机系统相继受到感染。

  这种名为“Zotob”的病毒及其病毒变种会让感染病毒的电脑毫无理由地自动关机,或莫名其妙地不停重启。其中装载“Windows2000”操作系统的电脑用户影响最为严重。

  电脑安全专家指出,此次病毒攻击的特点是集中攻击拥有庞大电脑网络系统的大型公司,个人电脑用户受到的影响较小。

  微软公司一周前在其官方网站发布了遏制病毒感染的“补丁”,以及如何清理受病毒感染系统的指示。

  专家们称,病毒造成的影响较为有限,因为病毒主要是阻塞网络,或偶尔重启受感染电脑。同时,“Windows2000”操作系统已使用了五年之久,微软公司已推出数个新的版本以及安全防范措施,这将进一步缩小病毒造成的损失。

  电脑安全专家称,使用“Windows2003”与“WindowsXP”版本的电脑不太会受到病毒影响,但也有可能受到一些远程控制者或内部系统受感染电脑的影响。
最后编辑2005-08-19 18:47:24
分享到:
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:11 | 只看楼主 短消息 资料
字号: 2楼

gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:12 | 只看楼主 短消息 资料
字号: 3楼




附件附件:

您所在的用户组无法下载或查看附件

gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:15 | 只看楼主 短消息 资料
字号: 4楼

病毒名称:极速波(I-Worm/Zobot)
病毒类型:蠕虫、后门
病毒大小:22528字节
传播方式:网络
危害程度:★★★

2005年8月15日,江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。

病毒具体技术特征如下:
1. 病毒运行后,将创建下列文件:
%SystemDir%\botzor.exe, 22528字节







2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
这样,在Windows启动时,病毒就可以自动执行。







3. 通过TCP端口8080连接IRC服务器,接受并执行黑客命令。可导致被感染计算机被黑客完全控制。

4. 在TCP端口33333开启FTP服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。






5. 修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并有下列文本:
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

针对该病毒,KV杀毒软件在8月15日升级病毒库后可以查杀。江民公司提醒广大用户,请注意及时升级病毒库,开启实时监控,立刻安装微软的安全补丁。保护您的系统不受此病毒的威胁。
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:17 | 只看楼主 短消息 资料
字号: 5楼

此病毒金山称"狙击波",江民称"极速波",实为同病毒.
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:20 | 只看楼主 短消息 资料
字号: 6楼

微软漏洞发布一周即被病毒利用,病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀!

      2005年8月15日,离微软发布漏洞公告不过一周时间,江民反病毒中心截获一个利用微软"即插即用服务代码执行漏洞"(MS05-039)的蠕虫“极速波”病毒I-Worm/Zobot。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。而就在昨天,江民反病毒中心刚刚发布预警,提醒广大电脑用户提访利用微软最新漏洞的病毒出现。

      病毒运行后,将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe

这样,在Windows启动时,病毒就可以自动执行。


    “极速波”病毒通过TCP端口8080连接IRC服务器,接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

    该病毒的危害还在于,病毒会修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战:第一个发现的反病毒软件 将在24小时内遭到“剿杀”。(MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)

    针对该病毒,江民KV2005杀毒软件8月15日升级病毒库后可以查杀。江民公司提醒广大用户,请注意及时升级病毒库,开启实时监控,立刻安装微软的安全补丁,保护您的系统不受此病毒的威胁。
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:24 | 只看楼主 短消息 资料
字号: 7楼

2005年8月15日,江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zobot。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。截止8月17日,江民客服中心以及技术支持信箱和病毒自动监控系统已接到百余例用户求助。

  针对该病毒,江民反病毒专家提出了手动清除和自动杀毒两种办法。

一、 自动杀毒:及时下载安装漏洞补丁,升级杀毒软件病毒库,开启病毒实时监控,特别木马/注册表监视,即可确保不受该病毒侵害。

二、 手动杀毒办法:

1、 在任务管理器里面结束botzor.exe进程

2、 运行REGEDIT,打开注册表编辑器,删除病毒在注册表中添加的启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe

3、将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。

  此外,专家建议,使用江民KV2005“未知病毒克星”以及“木马一扫光”组件,也可对病毒进行有效的主动防御。

  微软补丁下载地址:
http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx
  江民专杀工具下载地址:
http://update2.jiangmin.com/kvrt.exe
http://forum.jiangmin.com/KVRT.RAR
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:24 | 只看楼主 短消息 资料
字号: 8楼

最好用1楼方法对付它!
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:26 | 只看楼主 短消息 资料
字号: 9楼

继微软8月9日发布了6个安全漏洞补丁之后,国内外黑客纷纷公布利用这些最新漏洞的攻击程序。国内最大的反病毒厂商江民科技于8月12日发布了预警,指出利用Windows即插即用远程代码执行漏洞(MS05-039)的程序潜在威胁更大,如果成功利用该漏洞,甚至可能出现具有像“冲击波”和“震荡波”病毒一样的传播能力的恶意蠕虫。距离江民发布的预警仅仅两天,8月14日,就出现了利用MS05-039漏洞的蠕虫病毒“极速波”I-Worm/Zobot,该病毒除具备冲击波震荡波的传播能力外,还可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。江民反病毒专家日前对“三波”病毒进行了对比分析。



    利用漏洞速度比较
  自2005年8月9日,微软发布MS05-039(即插即用服务远程代码执行漏洞)安全更新程序,仅仅5天就出现了利用该漏洞传播的蠕虫病毒——“极速波”。而2004年4月30日爆发的震荡波病毒,和MS04-011(2004年4月13日)相隔17天。相较于前两者,冲击波出现距离相关漏洞发布的时间最长,为26天。

  传播能力比较
  极速波和冲击波、震荡波一样,都可以利用系统的漏洞进行主动传播,但极速波的传播能力稍逊。对于Windows 2000用户,三者同样可怕;对于Windows XP用户来说,类似极速波的病毒需要知道目标计算机的管理员帐号和密码才能进行感染。不过,鉴于很多Windows XP用户Administrator帐号没有设置密码的实际情况,极速波及其后续变种对这些XP用户的威胁和冲击波、震荡波病毒同样显著。

  病毒危害性比较
  极速波是在“麦涛”病毒的基础上,增加利用MS05-039漏洞的功能而编写成的。除了会向冲击波、震荡波病毒那样造成系统崩溃、倒计时重启现象外,它还可以从IRC接受黑客命令,导致中毒计算机可以被黑客完全控制。

  嚣张程度比较
  极速波相较于冲击波和震荡波更加猖狂,它对反病毒厂商提出公开挑战,扬言:第一个发现的反病毒软件 将在24小时内遭到“剿杀”(MSG to avs: the first av who detect this worm will be the first killed in the
next 24hours!!!)。

  有鉴于冲击波和震荡波的大规模爆发,专家指出“极速波”很有可能还会出现新的变种,江民反病毒专家建议广大用户,立即运行Windows更新程序,安装微软补丁,同时,注意及时升级江民杀毒软件KV2005杀毒软件,以免受到恶意代码和恶性蠕虫的侵害。
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2005-08-18 20:30 | 只看楼主 短消息 资料
字号: 10楼

[快讯]8月17日,瑞星全球反病毒监测网又截获Zotob蠕虫病毒的三个变种,分别是Worm.Zotob.D/E/F,它们同样利用微软的MS05-039漏洞,可能造成中毒电脑频繁重启。尽管Zotob蠕虫出现了很多变种,但根据瑞星客户服务中心和病毒疫情监测网的统计,Zotob蠕虫在中国大陆地区的疫情趋于缓和。

    目前瑞星病毒疫情监测网对该病毒的疫情判定“初级危险”(黄色)。瑞星的数据表明,16日14:30至17日10:00,共有7个企业网络的感染报告,另有126个个人用户求助,这些用户采用的全部是Win2000操作系统。

    而在国外,Zotob蠕虫疫情要严重得多,美国国会、美国有线电视台(CNN)、美国广播公司(ABC)、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的袭击,部分网络瘫痪。

    记者从瑞星了解到,国内尚无重要政府机构和重点企业网络的感染报告。瑞星反病毒专家刘刚介绍说,在短短的三天内,Zotob蠕虫已经相继出现了5个变种,在北美、欧洲和东亚一些地区肆虐。被这些变种病毒感染的电脑会出现频繁重启等现象,同时会被开设后门,被黑客进行远程控制。

    瑞星提供的数据表明,被病毒攻击的多数是防范措施不够严格的中小企业网络和个人用户。“我国企业的局域网应用环境、互联网环境跟国外有所区别,这可能是Zotob蠕虫在国内国外影响不同的原因。”瑞星反病毒专家刘刚说,“今年年初爆发的‘性感烤鸡’,就只在东亚的一些地区发作比较厉害,而在欧美没有造成很大影响。”

    针对Zotob蠕虫病毒新出现的3个变种,瑞星公司已经进行了紧急升级。由于有些遭病毒攻击的电脑会频繁重启,使用户无法及时打补丁、杀毒,瑞星反病毒专家建议采取以下措施:

1、 启动瑞星个人防火墙,添加新规则,关闭TCP 139、445端口,这样电脑就不会重启。
2、 去微软的网站打好05-039补丁。
3、 升级瑞星软件到17.40.21版本,打开杀毒软件的实时监控功能。

    同时,瑞星反病毒专家也提醒广大局域网管理员,近一段时间网上还可能出现Zotob蠕虫的更多变种,或者利用微软漏洞的其它蠕虫病毒。因此,网络管理人员应该注意瑞星网站发布的安全公告,并登陆瑞星病毒疫情监测网了解病毒的实时动态,为局域网制定相应的安全防护措施。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT