开元周游
德国频道
查看: 1579|回复: 0
打印 上一主题 下一主题

震荡波病毒最新变种E被发现

[复制链接]
1#
发表于 19.5.2004 12:34:36 | 只看该作者
根据熊猫病毒实验室的最新警报,震荡波病毒出现最新变种震荡波E。该变种与震荡波的其他变种,以及先前的netsky病毒混合传播,危害性十分巨大。从目前的统计数据来看,震荡波B病毒依然是目前传播最广泛的病毒,中国台湾地区的感染率高达18.36%,亚洲地区受危害最严重的新加坡感染率高达22.29%。因此,熊猫软件提醒所有的计算机用户,立即更新最新的病毒库,下载微软补丁,以及发封堵传播端口。<br>病毒中文名:震荡波变种E<br>病毒英文名:Worm.Sasser.e<br>Worm.Sasser的变种。开辟128个线程扫描网络。此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性。<br>  病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞,该病毒在网络上传播迅速,造成网络瘫痪。攻击失败会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统崩溃等。<br>技术细节分析<br>  1.首先拷贝自身到windows目录,名为%WINDOWS%\skynetave.exe(16384字节),然后登记到自启动项。<br>  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br>  lsasss.exe = %WINDOWS%\lsasss.exe<br>  病毒删除键名为rvddll_exe,drvsys.exe,ssgrate.exe的注册表键值。<br>  2.开辟线程,在本地开辟后门。监听TCP 1023端口(支持USER、PASS、PORT、RETR和QUIT命令),该线程实现一个ftp服务功能,被攻击成功的系统将利用从当前系统把病毒文件复制过去。达到传播的目的。<br>  3.病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,如果试探成功,则运行一个新的病毒进程对该目标进行攻击,把该目标的ip地址保存到“c:\ftplog.txt”。<br>  4.利用windows的LSASS中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出,可以获取管理员的权限,执行任意指令。<br>  5.溢出代码会主动从原机器下载病毒程序,运行起来,开始新的攻击。<br>  6.病毒调用系统的函数阻止系统关闭,并在2小时后(病毒认为完成所有的攻击“任务”时)将显示一个消息框。提示信息如下:<br>  1. Your computer is affected by the MS04-011 vulnerability。(你的计算机已经因MS04-011漏洞而被感染。)<br>  2. It can be that dangerous computer viruses similar。the Blaster worm infect your computer..(和冲击波同样危险的病毒可能会感染你的计算机)<br>  3. Please update your computer with the MS04-011 LSASS patch.. <br>  from the www.microsoft.com website..(请通过微软网站升级MS04-011 LSASS补丁)<br>  4. This is an message from the SkyNet Team for.. <br>  malicious activity prevention(此消息由SKYNET小组发布,以阻止恶意行动。)<br>熊猫软件建议用户:安装微软补丁仍然十分重要,下载地址:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx。 此外还公布有微软MS04-011快报,记载有震荡波所利用的系统漏洞。熊猫软件业已对产品做了全面更新,<br>熊猫软件用户也请尽快更新所安装的杀毒程序。<br>另外,用户也可登陆公司主页:http://www.pandasoftware.com ,使用免费的在线病毒扫描工具ActiveScan清除病毒。<br>熊猫软件相应发布了专杀工具。该工具能有效清除受感染机器和复原系统。<br>- 震荡波病毒专杀工具下载:http://www.pandasoftware.com/download/utilities/<br>- 在线寻求技术支持:www.pandasoftware.com/support<br>- 免费的在线病毒扫描工具Panda ActiveScan:www.pandasoftware.com<br>- 熊猫软件病毒百科全书:www.pandasoftware.com/virus_info/encyclopedia<br>   更多资讯,请参阅熊猫软件病毒百科全书。<br>
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点信息

站点统计| 举报| Archiver| 手机版| 小黑屋

Powered by Discuz! X3.2 © 2001-2014 Comsenz Inc.

GMT+1, 16.11.2024 00:48

关于我们|Apps

() 开元网

快速回复 返回顶部 返回列表