“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
   
8 e+ J& B$ u- @& J3 W$ h  X   
% d- M$ s* e4 \, L8 ~+ E
        　

    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。

　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
5 @4 C! x$ }+ c+ K) Y(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
7 C6 x; R7 `7 |% Q# \$ Y0 i' D2 r5 U( ]WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.

$ a2 N' s4 w- H! M. r" J
　该病毒具体特征如下:
) m. f- V9 k/ H. G
. x. \! O% P! O, T9 p2 p8 [6 X(1)文件特征:
msiwin84.exe
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
* G" o- ]1 z, P5 b) L- C2 C& B
(2)注册表特征:
' n% H, e8 [5 F- l" |4 N6 u' A修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
$ b0 e5 H* H6 C. [+ LHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
: t5 r$ c6 K2 ~3 yHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
( A; O0 Q$ a; e! S
" E$ [1 j! \/ ]8 y+ _3 A/ j1 @(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
% X$ t1 m' c6 s127.0.0.1 sophos.com
6 G! T8 E( J- @# V3 `0 C$ W- J+ f; d127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
! M+ l' G6 _0 `2 k127.0.0.1 viruslist.com
7 _+ A/ Z! x1 I$ {5 D7 V9 a127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
& n2 m- g3 o4 B2 J1 R6 t: {127.0.0.1 kaspersky-labs.com
# \  R3 j0 B9 I4 [127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
. |+ ^  m  P) A. T0 c127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
# |4 h3 S3 L9 L% d2 H" g4 t127.0.0.1 www.my-etrust.com
2 ]9 h* J; Q! L! E$ A8 p: L3 E127.0.0.1 download.mcafee.com
' }& Y' Q* R) N# Y/ O: Z) ^  Y* P127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
( {$ Q* R6 L" d127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
# V8 g$ t# V7 V7 V! X' Z- V) G127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
: L1 ]" `) V0 J' t( x) D( w127.0.0.1 rads.mcafee.com
  B2 |; {/ N8 u9 }+ ?! t127.0.0.1 trendmicro.com
  N9 D, H# z4 V/ j# c127.0.0.1 www.trendmicro.com
7 C' c( y) Q# V127.0.0.1 www.grisoft.com
8 G4 s) @( _" E) C文件是系统目录下的drivers\etc\hosts 文件。
& T  B2 W/ P, X9 e8 `4 `2 }8 M
(4)终止进程:
1 g9 ?/ }6 v7 ^0 B. N* J' uirun4.exe
+ u7 q4 i; ]3 q3 W2 g2 TSsate.exe
1 W2 p9 F- f& ~0 b+ v" V3 s( {i11r54n4.exe
winsys.exessgrate.exe
d3dupdate.exe
1 `9 E5 l1 h# i3 R8 ~bbeagle.exerate.exe

' k) ]  f$ N0 `2 \% l  N(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
: d% h1 z- m7 Y# ?) P) D0 t8 @
(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
% c8 H: Y6 y9 q(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。

" m% [$ `! u  ~' K5 C7 O, R! [7 b7 z(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
  ?  B8 J- ^. _/ c, Q- S3 d$ ~* E
　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
. |) p: {, h9 e/ L; F9 k  

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒

是吗？
/ ]" Z) Z, K: P! q- `偶装了
$ G/ q+ y: E) N- r1 Q3 h# W1 V今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
4 ]; A; J2 |$ I+ ~9 h9 |[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒
1 |' z3 g( ~  R" l% Q- Z% M( f

是吗？
偶装了
* j5 ^8 V/ n0 ^7 W2 u% D. Z 今天重装系统后就装了补丁
' }7 k( j# f) n4 ^2 M8 P[/quote]

; h4 e: P/ C5 c+ Z, I# ]( I: q( ]持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁