熊蓋站 - 首頁

  Plurk Twitter    

» 您尚未 登入註冊 | 說明 | 娛樂中心 | 點歌 | 聊天留言 | 最新 | 精華 | 論壇 | 資訊 | 首頁 | 影音模式

熊蓋站  -> 軟體分享  -> 【分享】病毒「Zotob」(狙擊波)急速來襲 危害直逼震盪波

--> 本頁主題: 【分享】病毒「Zotob」(狙擊波)急速來襲 危害直逼震盪波 加為IE收藏 | 收藏主題 | 上一主題 | 下一主題 | 可列印版本
oya999



∷ 職務: 普通會員 該帥哥目前不在線
∷ 編號: 1929
∷ 級別: 路人甲
∷ 發帖: 107
∷ 威望: 16
∷ 財富: 1393 蓋幣
∷ 貢獻: 0
∷ 配偶: 單身
∷ 家族: 無門無派
∷ 註冊: 2005-05-22
∷ 上次: 2012-11-13
※警告:(0)鮮花(2)
你還沒寵物,趕快去買一隻吧
寵物商店
  【字體: Plurk Twitter 
【本站推薦】:
 【分享】病毒「Zotob」(狙擊波)急速來襲 危害直逼震盪波

病毒「Zotob」(狙擊波)急速來襲 危害直逼震盪波



8月15日,金山反病毒應急處理中心截獲一個針對微軟系統嚴重漏洞進行主動攻擊的病毒,並命名為Zotob(Worm.Zotob.A)。


金山的反病毒專家說,Zotob病毒利用漏洞主動傳播,對於個人電腦的危害非常大,其危害程度與當年的震盪波相似,一旦被攻擊,用戶的電腦將會出現不斷重啟、系統不穩定等情況。病毒作者叫囂殺掉這個病毒的殺毒軟體將於24小時內被剿殺!

Zotob利用5天前微軟剛剛公佈的嚴重系統漏洞,Windows Plug and Play 服務漏洞 (MS05-039), 攻擊TCP連接阜445,和衝擊波、震盪波方法類似,攻擊程式碼向目標系統的445連接阜傳送漏洞程式碼,使目標系統造成緩衝區溢位,同時執行病毒程式碼,進行傳播。   



病毒攻擊目標系統時,可能造成系統不斷重啟(如圖示),與震盪波、衝擊波發作的時候類似,只不過在Zotob影響的工作變了,變為系統關鍵工作「Service.exe」, Zotob其實是Mytob的最新變種。Mytob是前一陣大肆氾濫的郵件病毒。


此次變種,更是加入了5天前才公佈漏洞修正檔的系統嚴重漏洞(Windows Plug and Play 服務漏洞 (MS05-039) )進行主動攻擊,使其大大提高了病毒傳播的廣度。


因此,Zotob除了利用漏洞攻擊外,還具有郵件傳播、自動下載新病毒等等這些與郵件病毒所具有的危害,使中毒用戶遭受打擊。


病毒執行後,將在系統目錄下新增botzor.exe文件,大小為22528字元。在註冊表中增加下列啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WINDOWS SYSTEM" = botzor.exe  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService

"WINDOWS SYSTEM" = botzor.exe
這樣,在Windows啟動時,病毒就可以自動執行。
「極速波」病毒通過TCP連接阜8080連接IRC伺服器,接受並執行黑客指令。

可導致被感染電腦被黑客完全控制。並在TCP連接阜33333開啟FTP服務,提供病毒文件下載功能。


利用微軟即插即用服務遠端程式碼執行漏洞(MS05-039)進行傳播。

如果漏洞利用程式碼成功執行,將導致遠端目標電腦從當前被感染電腦的FTP服務上下載病毒程序。如果漏洞程式碼沒有成功執行,未打修正檔的遠端電腦可能會出現services.exe工作崩潰的現象。


該病毒的危害還在於,病毒會修改%SystemDir%\drivers\etc\hosts文件,遮閉大量國外反病毒和安全廠商的網址。


並對反病毒廠商提出公開挑戰:第一個發現的反病毒軟體 將在24小時內遭到「剿殺」。(MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)

影響系統:
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000SP4
Microsoft Windows即插即用(PnP)功能允許操作系統在安裝新硬體時能夠檢測到這些設備。
Microsoft Windows即插即用功能中存在緩衝區溢位漏洞,成功利用這個漏洞的攻擊者可以完全控制受影響的系統。


起因是PnP服務處理包含有過多資料的畸形消息的方式。在Windows 2000上,匿名用戶可以通過傳送特製消息來利用這個漏洞;在Windows XP Service Pack 1上,只有通過認證的用戶才能傳送惡意消息;在Windows XP Service Pack 2和Windows Server 2003上,攻擊者必需本機登入到系統然後執行特製的應用程式才能利用這個漏洞。


該程式碼危害極大,可以遠端獲得電腦的全部權限而該電腦只要連線到INTELNET或者區域網路內即可,還可以製作Zotob類似病毒,請勿使用該程式碼從事非法活動!

注意如果不採取防護措施,即使什麼都沒有做也會中毒同震盪波一樣!
提醒大家昇級殺毒軟體,及時打好系統修正檔
該程式碼危害極大,可以遠端獲得電腦的全部權限而該電腦只要連線到INTELNET或者區域網路內即可,還可以製作Zotob類似病毒,請勿使用該程式碼從事非法活動!
注意如果不採取防護措施,即使什麼都沒有做也會中毒同震盪波一樣!
先鋒提醒大家昇級殺毒軟體,及時打好系統修正檔
廠商修正檔:


Microsoft
Microsoft已經為此發佈了一個安全公告(MS05-039)以及相應修正檔:


MS05-039:Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588)

連接:http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspxxpf=true 0>


修正檔下載:


Microsoft Windows 2000 Service Pack 4 – 下載更新:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F



Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2 –


下載更新:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=9A3BFBDD-62EA-4DB2-88D2-415E095E207F
__________________


※ ※ ※ 本文為 oya999 個人意見分享,與本站立場無關!※ ※ ※
[樓 主] |
發表於:2005-08-19 02:34

  熊蓋站 -> 軟體分享

v 最新文章        熊蓋站為自由討論論壇,所有個人行為或言論不代表本站立場。文章內容如有涉及侵權請聯絡我們,將立即刪除相關文章資料        v 精華文章

               

奇摩搜尋
完全比對 模糊比對

線上收看: 景點即時影像 | 線上查詢: 火車時刻表最上方

    Powered by 熊蓋站  Code © 2005-2017 Plurk Twitter 
讀取秒數Time 0.034548 second(s),query:4 Gzip enabled
   現在時間是 2024-11-27 12:40