病毒预报(8.22- 8.28)

时间: 2005-08-22 10:12:56    来自:国家计算机病毒应及处理中心
 

    国家计算机病毒应及处理中心通过对互联网的监测发现,8月15日出现蠕虫Worm_Zotob.A,该蠕虫通过MS05-039漏洞进行传播,并且能够通过漏洞对网络中的机器进行攻击。 截止到目前,该蠕虫已先后出现了B、C、D三个变种。

  其变种C,除了通过微软漏洞传播以外,还可以通过电子邮件传播,带毒邮件的主题和内容均不固定。
 
蠕虫详细资料如下:

病毒名称:“狙击波”(Worm_Zotob.A)
病毒类型:蠕虫
病毒级别:三级
感染系统:Windows 2000, Windows NT, Windows XP(未安装SP2)
病毒长度:22,528字节
其它命名:Worm.Zotob.a(金山)
     I-Worm.Zobot
     W32.Zotob.A(Symantec)
     Zotob.A (F-Secure)
     W32/Zotob.worm (McAfee)
     W32/Zotob-A (Sophos)
     WORM_ZOTOB.A (Trend)
病毒特征:

  “狙击波” (Worm_Zotob.A)及其变种是利用几天前微软刚刚公布的系统严重漏洞(Windows Plug and Play 服务漏洞)攻击TCP端口445,攻击代码向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区溢出,同时运行病毒代码,进行传播。

  另外与震荡波、冲击波发作时的现象类似,系统受到攻击后,会不断重启。

1、生成病毒文件

  在%System%目录下生成botzor.exe。(其中,%System%是Windows的系统文件夹,通常是 C:\Windows\System、C:\WINNT\System32或C:\Windows\System32)

2、修改注册表项

  病毒创建注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建注册项"WINDOWS SYSTEM" = "botzor.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService下创建注册项"WINDOWS SYSTEM" = "botzor.exe"

  病毒还会将注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess中的键值"Start"的值改为0x00000004以便阻止WinXP自带的防火墙运行。

3、蠕虫的传播

  蠕虫通过微软的即插即用漏洞(MS05-039)进行传播。通过对网络中445端口的扫描,一旦发现有机器没有安装安全漏洞补丁,蠕虫就会通过445端口进行传播。

4、其它

  病毒被激活后,会连接到服务器diabl0.turkcoders.net,黑客能够通过服务器向被感染的机器发送命令。

  同时,病毒还会修改HOST文件,以便阻止被感染的用户访问防病毒软件厂商的主页。

手工清除该病毒的相关操作:

(一)注册表的恢复

1、打开注册表编辑器

2、在左边的面板中打开
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,在右边的面板中删除病毒文件的键值

3、在左边的面板中打开
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService,在右边的面板中删除病毒文件的键值

(二)删除病毒释放的文件

  点击“开始——〉查找——〉文件和文件夹”,查找文件“botzor.exe”,并将找到的文件删除。

(三)恢复微软自带防火墙的运行

  在左边的面板中打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
在右边的面板中找到Start并且将其键值改为0x00000003

(四)运行杀毒软件,对系统进行全面的病毒查杀

 

专家建议:

1、建议用户立即修补漏洞,链接如下
http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx

2、加强管理,专网应与外网严格隔离,防止不必要的感染

3、遭受感染后,应先断开网络,再进行蠕虫的清除

4、关注蠕虫出现的变种,及时升级杀毒软件,启动实时监控

 
期期必出30码网站