“Zotob”(狙击波)急速来袭 危害直逼震荡波

www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------

 8月15日,金山反病毒应急处理中心截获一个针对微软系统严重进行主动攻击的病毒，并命名为Zotob(Worm.Zotob.A)。金山的反病毒专家说，Zotob病毒利用主动传播，对于个人电脑的危害非常大，其危害程度与当年的震荡波相似，一旦被攻击，用户的电脑将会出现不断重启、系统不稳定等情况。病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀！ Zotob利用5天前微软刚刚公布的严重系统，WindowsPlugandPlay(MS05-039)，攻击TCP端口445，和冲击波、震荡波方法类似，攻击代码向目标系统的445端口发送代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。

病毒攻击目标系统时，可能造成系统不断重启（如图示），与震荡波、冲击波发作的时候类似，只不过在Zotob影响的进程变了，变为系统关键进程“Service.exe”，Zotob其实是Mytob的最新变种。Mytob是前一阵大肆泛滥的邮件病毒。此次变种，更是加入了5天前才公布补丁的系统严重（WindowsPlugandPlay(MS05-039)）进行主动攻击，使其大大提高了病毒传播的广度。因此，Zotob除了利用攻击外，还具有邮件传播、下载新病毒等等这些与邮件病毒所具有的危害，使中毒用户遭受打击。

病毒运行后，将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项：

"WINDOWSSYSTEM"=botzor.exe

"WINDOWSSYSTEM"=botzor.exe

这样，在Windows启动时，病毒就可以执行。

“极速波”病毒通过TCP端口8080连接IRC器，接受并执行命令。可导致被感染计算机被完全控制。并在TCP端口33333开启FTP，提供病毒文件下载功能。利用微软即插即用远程代码执行（MS05-039）进行传播。如果利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP上下载病毒程序。如果代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

该病毒的危害还在于，病毒会修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战：第一个发现的反病毒软件将在24小时内遭到“剿杀”。（MSGtoavs:thefirstavwhodetectthiswormwillbethefirstkilledinthenext24hours!!!）

关于MS05-039:

MicrosoftWindows即插即用缓冲区溢出（MS05-039）

影响系统：

MicrosoftWindowsXPSP2

MicrosoftWindowsXPSP1

MicrosoftWindowsServer2003SP1

MicrosoftWindowsServer2003

MicrosoftWindows2000SP4

MicrosoftWindows即插即用（PnP）功能允许操作系统在安装新硬件时能够检测到这些设备。

MicrosoftWindows即插即用功能中存在缓冲区溢出，成功利用这个的攻击者可以完全控制受影响的系统。

起因是PnP处理包含有过多的畸形消息的方式。在Windows2000上，匿名用户可以通过发送特制消息来利用这个；在WindowsXPServicePack1上，只有通过认证的用户才能发送恶意消息；在WindowsXPServicePack2和WindowsServer2003上，攻击者必需本地登陆到系统然后运行特制的应用程序才能利用这个。

该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!

注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!

提醒大家升级杀毒软件,及时打好系统补丁

该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动!

注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样!

先锋提醒大家升级杀毒软件,及时打好系统补丁

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS05-039）以及相应补丁:

MS05-039：VulnerabilityinPlugandPlayCouldAllowRemoteCodeExecutionandElevationofPrivilege(899588)

链接：http://www.microsoft.com/technet/se...39.mspx?pf=true

补丁下载：

MicrosoftWindows2000ServicePack4–下载更新：

http://www.microsoft.com/downloads/...EF-0AC89905C88F

MicrosoftWindowsXPServicePack1和MicrosoftWindowsXPServicePack2–下载更新：

http://www.microsoft.com/downloads/...D2-415E095E207F

MicrosoftWindowsXPProfessionalx64Edition–下载更新：

http://www.microsoft.com/downloads/...06-9B7517BAB3C8

MicrosoftWindowsServer2003和MicrosoftWindowsServer2003ServicePack1–下载更新：

http://www.microsoft.com/downloads/...45-533EB471072C

MicrosoftWindowsServer2003forItanium-basedSystems和MicrosoftWindowsServer2003withSP1forItanium-basedSystems–下载更新：

http://www.microsoft.com/downloads/...41-2CCD8D4C3F50

MicrosoftWindowsServer2003x64Edition–下载更新：

http://www.microsoft.com/downloads/...98-513FFDAC98E4

【免费加入会员】【我要投稿】【关闭本页】