“极速波”(I-Worm/Zobot)剖析

发表于:2007-05-25来源:作者:点击数: 标签:极速波I-WormZobot8月15日
8月15日,江民反病毒中心截获了一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob,因为和一年前曾经犯下滔天大罪的“冲击波”病毒表现相似,因此称之为“极速波”。 早在一周前(8月9日),微软在本月份 安全 公告中亮明6个安全

    8月15日,江民反病毒中心截获了一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob,因为和一年前曾经犯下滔天大罪的“冲击波”病毒表现相似,因此称之为“极速波”。

    早在一周前(8月9日),微软在本月份安全公告中亮明6个安全漏洞的身份之后,江民科技就曾发出过警告称:如果MS05-039漏洞能够被黑客成功利用,很有可能再次出现类似“冲击波”和“震荡波”那样急剧危害性且传播速度极快的恶意蠕虫病毒。现在看来,江民的预言得到了验证。

原文链接:http://www.softhouse.com.cn/html/200508/2005081614120700010258.html

    现在出现的“极速波”病毒正是利用MS05-039漏洞进行传播,并且可以通过IRC接受黑客命令,进而完全控制被感染计算机。

    今日(8月16日),江民科技公布这一病毒的详细分析报告,并且提出了具体的解决思路,下面列出其中主要内容,希望能够引起广大网民朋友的足够重视。

    病毒名称:极速波(I-Worm/Zobot)
    病毒类型:蠕虫、后门
    病毒大小:22528字节
    传播方式:网络

    病毒具体技术特征如下:

    1. 病毒运行后,将创建下列文件:

    %SystemDir%\botzor.exe, 22528字节
 

    2. 在注册表中添加下列启动项:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WINDOWS SYSTEM" = botzor.exe
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "WINDOWS SYSTEM" = botzor.exe

    这样,在Windows启动时,病毒就可以自动执行。


    3. 通过TCP端口8080连接IRC服务器,接受并执行黑客命令。可导致被感染计算机被黑客完全控制。

    4. 在TCP端口33333开启FTP服务,提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞(MS05-039)进行传播。如果漏洞利用代码成功运行,将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行,未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。
 

    5. 修改%SystemDir%\drivers\etc\hosts文件,屏蔽大量国外反病毒和安全厂商的网址。并有下列文本:

    MSG to avs: the first av who detect this worm will be the first killed in the
    next 24hours!!!

    受到“极速波”侵害时的具体症状如下图所示:

    反病毒专家提醒广大用户,请注意及时升级杀毒软件的病毒库,开启“实时监控”功能,并且立刻安装微软的安全补丁,以免受到该病毒的威胁。

原文转自:http://www.ltesting.net