本周重点关注病毒: 冲击波 Worm.msBlast ★★★★ 传播方式:RPC漏洞攻击 该蠕虫病毒通过利用微软NT系列操作系统平台普遍存在的RPC漏洞进行攻击,将自身复制到远端系统,从而达到传播的目的。由于在某些平台上如(WindowsXP)蠕虫的设计缺陷导致会出现RPC服务崩溃,Windows自动倒计数1分钟重新启动。以下是它的一些技术特点: 1、创建一个名为"BILLY"的互斥体,如果该进程已经存在,则退出。 2、添加如下注册表键值:"windows auto update"="msblast.exe"在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,以使蠕虫可以开机自动运行。 3、计算IP地址: a. 第三段是小于20的随机数,第四段从0—255 (40%的几率) b. 随机产生前三段,第四段为0。 (60%的几率) 4、发送数据到被攻击的计算机的TCP 135端口(DCOM RPC漏洞),在被攻击计算机创建一个隐藏的CMD.exe Shell, 使其监听 TCP 4444端口,发送的数据不对可能会导致受攻击的计算机崩溃。 5、监听 UDP 69端口,当有服务请求,就发送Msblast.exe文件。 6、发送命令到远端计算机(被攻击计算机), 以使其连接被感染计算机(本地计算机)下载并运行Msblast.exe。 7、如果当前月份大于8月,或当前日期大于15号,对"Windowsupdate.com"实施DoS攻击。 8、该蠕虫包含有如下不会被显示的字符串: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 恶流言 VBS.RPCWorm ★★★★ 传播方式:利用RPC漏洞攻击 一个同样利用RPC漏洞进行攻击传播的蠕虫病毒。病毒的主体传播部分是一份VBS代码,通常名称为zerg.vbe,当病毒启动运行后,将执行vbs代码将所附带的自解压包解开,释放十多个相关文件。并且此蠕虫病毒困绑了一个后门程序,在受感染的机器上留下后门。尤其需要关注的是:“恶流言”主体程序采用较为简单的VBS脚本编写,利用第三方的黑客工具对网络上存在RPC漏洞的系统发动攻击,这种简单的结构使得病毒的制作更加简易,给计算机安全带来了巨大的挑战。 传奇幽灵 (黑客程序) ★★ 传播方式:欺骗运行 一个盗取传奇账号的木马程序,会盗取传奇区域、用户名、密码、服务器及修改密码、注册新用户里的所有信息。并且体积很小,大小仅仅27kb,有可能被人恶意用做网页木马使用,达到访问网站即中木马的卑劣用意。 专家提醒: 1、最近微软的RPC安全漏洞引起了轩然大波,为了避免这些漏洞带来的危害,再次提醒安装微软补丁MS03-026,RPC漏洞补丁,并请经常使用微软的自动更新(WindowsUpdate); 2、猜密码是病毒传播的一种重要途径,请广大网络用户使用更为强壮的管理员密码; 3、请不要到不安全的网址下载各类所谓的游戏外挂、工具,以免被安装木马泄露您的机密信息。 作者: 十指滑键 时间: 2003-8-18 14:53