中新浙江网8月16日电 金山反病毒应急处理中心截获一个针对微软系统严重漏洞进行主动攻击的病毒,并命名为“狙击波(Worm.Zotob.A)”,之后的几个小时内,再次捕获“狙击波”的最新变种(Worm.Zotob.B)。“狙击波”病毒主要利用漏洞进行主动传播,对于个人电脑的危害非常大,其危害程度与当年的震荡波相似,一旦被攻击,用户的电脑将会出现不断重启、系统不稳定等情况,严重甚至导致系统崩溃。病毒制造者还公然向反病毒厂商叫阵,声称:第一个查杀该病毒的安全厂商将会在24小时之内遭到报复。 变种B与A的不同之处在于修改了病毒主程序文件名、系统加载项名等,以此改头换面,企图躲过反病毒软件的查杀,金山毒霸2005已能查杀该病毒及变种。
据金山反病毒专家分析:“狙击波”是利用5天前微软刚刚公布的系统严重漏洞(Windows Plug and Play服务漏洞(MS05-039))攻击TCP端口445,攻击代码向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区溢出,同时运行病毒代码,进行传播。
“狙击波(Worm.Zotob.A)”具有以下特征:
1.病毒将自身复制到以下目录:%system%\botzor.exe
2.在注册表中添加如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
以在每次启动时运行
3.修改以下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自带的防火墙运行
4.通过MS05-039漏洞进行攻击
// -=PNP445=- //transfer complete to ip:
5.病毒会创建以下互斥量,以保证系统只一个进程运行
B-O-T-Z-O-R
6.病毒文件中含有以下作者信息
Botzor2005 By DiablO
7.修改Host文件,屏蔽大量国内外反病毒和安全厂商的网址,并显示:MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
“狙击波的变种(Worm.Zotob.B)”的特征如下:
该病毒为VC编写,Upack加壳的蠕虫病毒,通过ms05-039漏洞传播,它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降、网络堵塞。通过修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会。
1.在系统目录下释放文件csm.exe
2.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和
Software\Microsoft\Windows\CurrentVersion\RunServices上添加
csm Win Updates = csm.exe
使病毒能够随计算机启动而自动运行.
3.修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4来禁止Windows自带的防火墙运行
病毒攻击目标系统时,可能造成系统不断重启,与震荡波、冲击波发作时的表现类似,只不过在“狙击波”影响的进程中系统关键进程变成了“Service.exe”。
金山反病毒专家告诉记者,“狙击波”其实是“Mytob”的最新变种。“Mytob”是前段时间大肆泛滥的邮件病毒,以变种快且多而著名。此次变种,更是加入了5天前才公布漏洞补丁的系统严重漏洞(Windows Plug and Play服务漏洞(MS05-039) )进行主动攻击,使其大大提高了病毒传播的广度。“狙击波”除了利用漏洞攻击外,还具有自动下载新病毒、利用IRC软件开后门、禁用杀毒软件等危害,使中毒用户遭受更大的打击。
为避免该病毒造成类似“冲击波”、“振荡波”的危害,金山毒霸反病毒专家教你三招严防此病毒的入侵:
1、安装毒霸,开启实时升级,最快速度升级最新病毒库防止该病毒的入侵和完全查杀该病毒;
2、使用个人网防火墙封者系统默认打开的TCP 445端口,切断病毒入侵的途径;
以下为金山网镖的封堵方法:
1)打开金山网镖“配置选项”
2)选择“高级”标签
3)点击“添加”按钮,添加禁用TCP 445端口的规则
4)完成设置,点“确定”退出
3、使用金山毒霸漏洞扫描或Windows Update打上最新补丁。微软五天前发布的补中,公告号为MS05-039的补丁及为修补该漏洞的最新补丁,打上最新补丁可保证系统免受病毒入侵。
金山反病毒专家提醒用户,此类病毒以变种多且快而著名,传播广度极大。金山反病毒中心紧急进行了病毒库升级,可以对此病毒进行查杀,请升级金山毒霸到最新版本,也可登陆www.duba.net进行免费在线查杀。
