“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
   
1 q! J7 n& F  m   

        　

5 I* I9 `7 \: ~    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。
& x) |1 h' a+ a9 {0 A% K) {
* |& v+ e+ \, M　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
. E  K) s( Y; J# S(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
$ t# `/ ]+ b1 Y+ cWINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.


# t) g5 X8 }" Y) |( j　该病毒具体特征如下:
& U& @5 V7 f; ^. I( y. @/ \" O) U# E
(1)文件特征:
' f8 G9 z: ^8 L# t* Smsiwin84.exe
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.

! q) z) ^7 m$ H# E/ D: |" C(2)注册表特征:
# Y9 g5 g3 ^8 @0 D! Q8 l; |5 t1 ]修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
: L6 y5 p* _' i. r3 KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
1 n, z! |: h$ h5 M: F% \- _HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

* g, x2 n  c; n- q/ M  s' N(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
( W6 r$ _( J: t$ `2 v* |127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
2 D( G" I1 c3 f  v3 K127.0.0.1 f-secure.com
: E/ E' z+ n/ E; T, O* t0 |127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
1 @# D' G4 i0 Y9 ?) G& p127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
7 P& v  g! E5 ?1 U8 ]8 _127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
$ o4 \9 s$ V: t8 K- ^& l127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
: A# E6 a) }. b, F+ p) q127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
) W4 p7 y4 ]4 i, ?. D3 j) E5 I127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
' k% @; n: @& `- [8 [6 {& f127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
1 J8 [6 o) T* d, T7 E$ w+ v文件是系统目录下的drivers\etc\hosts 文件。
1 _0 G+ z4 c! S; e
(4)终止进程:
irun4.exe
% Q# B$ l0 F& {9 [! C0 MSsate.exe
: c; z. |" A* _5 E  Y; w7 Yi11r54n4.exe
winsys.exessgrate.exe
d3dupdate.exe
& d3 p! D- H" C! G1 Wbbeagle.exerate.exe

(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
3 ~' V$ D2 A' S9 C/ Y2 E
7 `7 \0 @3 s# m9 Q! K8 n3 G(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
# m1 X  u8 h% ]2 [" {  E(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
( K  a) I1 ^* S
(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
) {6 |6 Y* P) K
4 l0 a8 `5 |$ q; L" V8 ^; c 　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
! E- s( u" k  J5 e, e  

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
+ Z" _9 Y/ o% s. t7 ^0 f打上本站发布的6个补丁即可防止此病毒

8 i- ^( G* b5 K5 _+ F# ?3 h
  b& |+ _$ L" W& ]% F是吗？
7 X' B1 y* \: x, |" `  u( W- w偶装了
# _7 g& G; z. {5 K6 K5 G4 e  U' f今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
/ P1 _( e& K( F1 M  e/ V 打上本站发布的6个补丁即可防止此病毒
  `+ n+ y4 X( w4 W  O! G( n3 t

是吗？
偶装了
今天重装系统后就装了补丁
[/quote]
9 E: B; S8 y! i8 A
持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
: r; w+ I3 x1 v! ~$ d% V1 N连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁