天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

极度危险“扫荡波” 利用微软漏洞传播

2008-11-10塞迪网佚名

“扫荡波”(Worm.SaodangBo.a.94208),这是一个利用MS08-067漏洞发动攻击的蠕虫下载器,它会将另外一些下载器和盗号木马下载到用户电脑中。该毒的攻击能力非常强,只要系统未打补丁,受攻击的电脑即使运气好“免遭毒手”,也会出现系统进程崩溃事件,导致无法上网。

“远程控制器1032192”(Win32.VirInstaller.Agent.1032192),这是一个远程控制木马。它会将用户电脑系统与黑客远程服务器连接

一、“扫荡波”(Worm.SaodangBo.a.94208) 威胁级别:★★★

微软MS08-067漏洞公布之后,利用该漏洞发动攻击的恶意程序大量涌现。昨日被毒霸反病毒工程师捕获的“扫荡波”就是其中威胁最大的一个。

它利用网页挂马进行传播,病毒进入电脑后,立即对局域网内所有电脑进行扫描,只要发现它们未打MS08-067漏洞的补丁,就立即将其攻陷,往里面下载自己的最新版本和大量的其它恶意程序,主要是各类下载器和盗号木马。

如果对网内电脑的攻击失败,这些电脑上则会出现svchost.exe出错的提示,说“svchost.exe中发生未处理的win32异常”,同时网络连接中断。用户要是发现自己的电脑中出现此情况,就说明您电脑所处的局域网内有机器中毒。这时候,您的电脑并没有中毒,但千万不可以有侥幸心理,应该立即打上MS08-067补丁,因为该毒的攻击不会仅仅一次,而且随着病毒作者对它进行升级,它会拥有更强的攻击力。

该毒共含有四个子文件,分别是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。进入系统后,它首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后,挑选出可以连上445端口的计算机保存到一个列表文件中。然后,再调用mrosconfig.exe对列表文件中的计算机发送RPC请求,使远程计算机中的svchost.exe中解析RPC路径时溢出,在远程计算机中下载一个名为ko.exe的文件并执行。

ko.exe文件是另一个下载器,它会下载更多的其它恶意程序安装到被攻击的计算机上。目前毒霸反病毒工程师在其下载清单中已发现机器狗木马和针对《QQ三国》、《完美世界》等网游的盗号木马。

二、“远程控制器1032192”(Win32.VirInstaller.Agent.1032192) 威胁级别:★

这个远程木马的行为比较简单,它释放完文件、添加注册表启动项后,就会在后台启动IE浏览器,连接病毒作者指定的远程黑客服务器。

该毒的文件sea0999.tmp会被释放到系统临时目录%WINDOWS%\TEMP\下,如果能顺利运行,它就会开启端口31801,生成后门。它所连接的黑客服务器为 udp.hj**123.com,经毒霸反病毒工程师检查已失效。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控,防范日益增多的病毒。用户在安装反病毒软件之后,应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报,这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加,所以各类盗号木马必将随之增多,建议用户一定要养成良好的网络使用习惯,及时升级杀毒软件,开启防火墙以及实时监控等功能,切断病毒传播的途径,不给病毒以可乘之机。

本文来源:塞迪网 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行