您现在的位置: 
“狙击波(Zotob)”虽未大面积爆发 但威胁态势严重
作者:金山软件 人气:
【字体:大 中 小】
发布时间:2006-10-21 09:27:54
“狙击波(Worm.Zotob.A)”病毒在国内于8月15日凌晨被金山毒霸率先截获,截止到发稿时,已经出现一个新的变种“Worm.Zotob.C”。“狙击波”病毒主要利用微软最新漏洞MS05-039进行攻击,其危害程度与当年的震荡波相似,中毒用户的电脑将会出现不断重启、系统不稳定等情况,严重的甚至导致系统崩溃。据了解,金山客户服务中心已经陆续接到各地的用户的求助热线,基本都是中招之后系统遭遇重启。
“狙击波”病毒的危害目前主要针对Windows 2000和Windows XP SP1系统的用户,Windows XP的用户打了SP2补丁才可以避免受到攻击,Windows2003用户也不会受到影响。据统计,目前国内windows 2000的用户使用率在20%之内,Windows XP的使用率占到70%多,而没有打Sp2补丁的WinXP用户则几乎占到了40%。这两种用户正是该病毒的重点攻击对象,占到总电脑用户的60%以上。另外,该病毒还可以探测到微软Windows95、98、ME、NT、2000和XP系统中的安全漏洞,从而使黑客达到远程控制用户电脑的目的。
此次致使该病毒传播的漏洞是由一个管理即插即用设备的系统服务造成的,当将U盘或MP3等设备插入电脑能立刻使用就是该服务的功能。可见这一服务是每台Windows系统每天必会自动运行的服务。此次威胁范围较广,而且之前也有外电报道,6月30日是微软正式停止对Windows 2000操作系统提供技术支持的时间,但是微软还是就这一事件做了紧急升级。
据金山反病毒工程师介绍,该病毒最早从国外传来,此间微软与各反病毒厂商都做了各项预警及补救错失,目前还未在国内造成大面积爆发。不过值得关注的是,截至现在,该病毒在刚刚被发现的40多个小时里,就已经另有了两个变种。由于这个漏洞广泛的存在于Win2000、XP和2003里,所以病毒的下一步变种趋势将是开始做Windows的弱密码攻击,从而利用该漏洞感染破坏所有系统。
金山反病毒专家提醒用户,大多数网络病毒是通过系统漏洞进行传播的,像冲击波、震荡波及狙击波等,用户应该及时下载最新的系统安全补丁,切实做好防范工作。金山毒霸2005的主动漏洞修复功能可扫描操作系统及各种应用软件的漏洞,当新的安全漏洞出现时,金山毒霸会下载漏洞信息和补丁,经扫描程序检查后自动帮助用户修复。没有安装金山毒霸的用户,可以登陆http://db.kingsoft.com免费下载最新版金山毒霸2005组合装,也可使用金山毒霸在线查毒、杀毒功能。
病毒分析:
金山发布“狙击波”变种B病毒技术分析报告
“狙击波”变种B为VC所编写、Upack加壳的蠕虫病毒,通过ms05-039漏洞传播。它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降,网络堵塞。并修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会。
技术分析如下:
1.建立一个名为"B-O-T-Z-O-R"的互斥量,如果该互斥量存在,则表示本主机已经被病毒感染,直接退出.
2.在系统目录下释放文件csm.exe
3.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和
Software\Microsoft\Windows\CurrentVersion\RunServices上添加
csm Win Updates = csm.exe
使病毒能够随计算机启动而自动运行.
4. 修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4 来禁止Windows自带的防火墙运行
5.修改hosts文件,使用用户无法正常登录一些安全网站
6.通过ms05-039漏洞向其它机器发送溢出数据包来传播自身