» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 金山：极度危险“扫荡波”　利用微软漏洞传播   作者: 标题: 金山：极度危险“扫荡波”　利用微软漏洞传播 gudan 高级用户 积分 605 发帖 579 注册 2007-7-20 #1  金山：极度危险“扫荡波”　利用微软漏洞传播 “扫荡波”（Worm.SaodangBo.a.94208），这是一个利用MS08-067漏洞发动攻击的蠕虫下载器，它会将另外一些下载器和盗号木马下载到用户电脑中。该毒的攻击能力非常强，只要系统未打补丁，受攻击的电脑即使运气好“免遭毒手”，也会出现系统进程崩溃事件，导致无法上网。 “远程控制器1032192”（Win32.VirInstaller.Agent.1032192），这是一个远程控制木马。它会将用户电脑系统与黑客远程服务器连接 一、“扫荡波”（Worm.SaodangBo.a.94208） 威胁级别：★★★ 微软MS08-067漏洞公布之后，利用该漏洞发动攻击的恶意程序大量涌现。昨日被毒霸反病毒工程师捕获的“扫荡波”就是其中威胁最大的一个。 它利用网页挂马进行传播，病毒进入电脑后，立即对局域网内所有电脑进行扫描，只要发现它们未打MS08-067漏洞的补丁，就立即将其攻陷，往里面下载自己的最新版本和大量的其它恶意程序，主要是各类下载器和盗号木马。 如果对网内电脑的攻击失败，这些电脑上则会出现svchost.exe出错的提示，说“svchost.exe中发生未处理的win32异常”，同时网络连接中断。用户要是发现自己的电脑中出现此情况，就说明您电脑所处的局域网内有机器中毒。这时候，您的电脑并没有中毒，但千万不可以有侥幸心理，应该立即打上MS08-067补丁，因为该毒的攻击不会仅仅一次，而且随着病毒作者对它进行升级，它会拥有更强的攻击力。 该毒共含有四个子文件，分别是aaa.bat、mrosconfig.exe、 vista.exe、qqq.sys。进入系统后，它首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后，挑选出可以连上445端口的计算机保存到一个列表文件中。然后，再调用mrosconfig.exe对列表文件中的计算机发送RPC请求，使远程计算机中的 svchost.exe中解析RPC路径时溢出，在远程计算机中下载一个名为ko.exe的文件并执行。 ko.exe文件是另一个下载器，它会下载更多的其它恶意程序安装到被攻击的计算机上。目前毒霸反病毒工程师在其下载清单中已发现机器狗木马和针对《QQ三国》、《完美世界》等网游的盗号木马。 二、“远程控制器1032192”（Win32.VirInstaller.Agent.1032192） 威胁级别：★ 这个远程木马的行为比较简单，它释放完文件、添加注册表启动项后，就会在后台启动IE浏览器，连接病毒作者指定的远程黑客服务器。 该毒的文件sea0999.tmp会被释放到系统临时目录%WINDOWS%\TEMP\下，如果能顺利运行，它就会开启端口31801，生成后门。它所连接的黑客服务器为 udp.hj**123.com，经毒霸反病毒工程师检查已失效。 ※ ※ ※ 本文纯属【gudan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-9 14:48 gudan 高级用户 积分 605 发帖 579 注册 2007-7-20 #2   还有这个，http://www.du110.com/viewthread.php?tid=7243&extra=page%3D1 哎！！！ ※ ※ ※ 本文纯属【gudan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-9 14:50 gudan 高级用户 积分 605 发帖 579 注册 2007-7-20 #3   继续 http://www.du110.com/redirect.ph ... o=lastpost#lastpost ※ ※ ※ 本文纯属【gudan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-9 15:16 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #4   最近流行这个 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-11-9 18:25 yurong7777777 高级用户 积分 536 发帖 534 注册 2008-9-12 #5   有点可怕 ※ ※ ※ 本文纯属【yurong7777777】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-11-9 22:11 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号