本周重点关注病毒:
冲击波 Worm.msBlast ★★★★ 传播方式:RPC漏洞攻击
该蠕虫病毒通过利用微软NT系列操作系统平台普遍存在的RPC漏洞进行攻击,将自身复制到远端系统,从而达到传播的目的。由于在某些平台上如(WindowsXP)蠕虫的设计缺陷导致会出现RPC服务崩溃,Windows自动倒计数1分钟重新启动。以下是它的一些技术特点:
1、创建一个名为"BILLY"的互斥体,如果该进程已经存在,则退出。
2、添加如下注册表键值:"windows auto update"="msblast.exe"在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,以使蠕虫可以开机自动运行。
3、计算IP地址:
a. 第三段是小于20的随机数,第四段从0—255 (40%的几率)
b. 随机产生前三段,第四段为0。 (60%的几率)
4、发送数据到被攻击的计算机的TCP 135端口(DCOM RPC漏洞),在被攻击计算机创建一个隐藏的CMD.exe Shell, 使其监听 TCP 4444端口,发送的数据不对可能会导致受攻击的计算机崩溃。
5、监听 UDP 69端口,当有服务请求,就发送Msblast.exe文件。
6、发送命令到远端计算机(被攻击计算机), 以使其连接被感染计算机(本地计算机)下载并运行Msblast.exe。
7、如果当前月份大于8月,或当前日期大于15号,对"Windowsupdate.com"实施DoS攻击。
8、该蠕虫包含有如下不会被显示的字符串:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
恶流言 VBS.RPCWorm ★★★★ 传播方式:利用RPC漏洞攻击
一个同样利用RPC漏洞进行攻击传播的蠕虫病毒。病毒的主体传播部分是一份VBS代码,通常名称为zerg.vbe,当病毒启动运行后,将执行vbs代码将所附带的自解压包解开,释放十多个相关文件。并且此蠕虫病毒困绑了一个后门程序,在受感染的机器上留下后门。尤其需要关注的是:“恶流言”主体程序采用较为简单的VBS脚本编写,利用第三方的黑客工具对网络上存在RPC漏洞的系统发动攻击,这种简单的结构使得病毒的制作更加简易,给计算机安全带来了巨大的挑战。
传奇幽灵 (黑客程序) ★★ 传播方式:欺骗运行
一个盗取传奇账号的木马程序,会盗取传奇区域、用户名、密码、服务器及修改密码、注册新用户里的所有信息。并且体积很小,大小仅仅27kb,有可能被人恶意用做网页木马使用,达到访问网站即中木马的卑劣用意。
专家提醒:
1、最近微软的RPC安全漏洞引起了轩然大波,为了避免这些漏洞带来的危害,再次提醒安装微软补丁MS03-026,RPC漏洞补丁,并请经常使用微软的自动更新(WindowsUpdate);
2、猜密码是病毒传播的一种重要途径,请广大网络用户使用更为强壮的管理员密码;
3、请不要到不安全的网址下载各类所谓的游戏外挂、工具,以免被安装木马泄露您的机密信息。
阳光摆渡人——大虫.org
NIKON D3S
NIKON D700
SIGMA 50mm 1.4 HSM
SIGMA 24-70mm F2.8 HSM
TOKINA 10-17mm f3.5-4.5 fisheye
TAMRON SP AF17-35mm F/2.8-4
NIKON AF 35mm F2D
NIKON AF 50mm f1.8D
NIKON AF 85mm f1.8d
NIKON AFS 105VR F2.8 MARCO
NIKON AFS 70-200 F2.8G VR
NIKON SB900 SPEEDLIGHT
