“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
   
* D* J0 x  w6 p0 A( Z  c" c   

( e% {/ o( H* h        　

    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。

/ t4 T' d. Z; L: E　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
& n$ Y) R' a4 X5 I(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
% f* ~+ S2 e  B) o$ @: k; O! \WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
4 S& }& y0 a6 ]- J" }8 ^( U0 V(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.


% a/ X1 ]) [  ^6 l; z, y0 x　该病毒具体特征如下:
7 C4 P! w& L% p2 B, H8 H
(1)文件特征:
msiwin84.exe
* G6 ?7 e$ J% K5 P, v, H修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.

! P5 \# }2 V# G: ]7 \(2)注册表特征:
1 q) S7 h9 A' H& W/ O8 j8 k1 {修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
3 C1 z4 J& ?; o9 a* a
(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
9 ?" E9 A9 C, a, b: X127.0.0.1 www.sophos.com
$ e' e! X' l3 P- v( J" r* \127.0.0.1 sophos.com
. M* D! ~  i9 K" ^) v  @127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
5 T: O7 J+ P* p5 C- ?0 T2 r- i: J127.0.0.1 liveupdate.symantecliveupdate.com
0 l" S; d  V( }4 E/ x+ J) ~+ v' n127.0.0.1 www.viruslist.com
* M& f- k2 I. _4 a127.0.0.1 viruslist.com
4 P- R* j- X4 y1 ~9 W7 u. k' [127.0.0.1 viruslist.com
. y# a: D& k8 ?8 r. M( n, {127.0.0.1 f-secure.com
, ]* ^; ~  b$ ~, G$ v/ R127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
+ m; K, W. T1 g5 c: q, X4 K127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
7 }& k+ y% h! u127.0.0.1 www.ca.com
127.0.0.1 ca.com
9 d+ C  K, R/ ^3 D- b127.0.0.1 mast.mcafee.com
. j; o, P9 l" U0 A6 z) H- q9 y% j: K127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
, V& L( N9 O& o# ]127.0.0.1 download.mcafee.com
& D, h9 ^8 c* H! q, X127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
" _) f. T& \$ K1 U6 t127.0.0.1 nai.com
# l0 v+ N+ [+ |6 }: ?9 z& T, M127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
: W, a5 A- P* s127.0.0.1 customer.symantec.com
9 Z9 G& ]. a" n& ^1 ]0 @" @127.0.0.1 rads.mcafee.com
$ S3 V8 o; q' A127.0.0.1 trendmicro.com
! s# U1 N7 p+ B8 z& ?9 F5 k- N8 z127.0.0.1 www.trendmicro.com
$ U: k1 ]1 x. A$ ^127.0.0.1 www.grisoft.com
- D* u( m& T6 G! X% h文件是系统目录下的drivers\etc\hosts 文件。
0 ]4 \" }3 G) N( o" f: H
(4)终止进程:
irun4.exe
Ssate.exe
+ u' u0 K5 w# j, C7 N0 ui11r54n4.exe
winsys.exessgrate.exe
5 M7 P% [( H+ t+ l$ \7 [) s8 o) P4 M4 yd3dupdate.exe
& F) D; l5 f4 S5 ~bbeagle.exerate.exe

(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
0 r4 ?; E; [5 x, t. {6 G
# m8 O1 ]2 ?0 ?, l- f) u8 q(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
6 w1 C! H: n. D) ^; [9 m
) O7 ]$ N6 O! P& g" j7 P(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
, E7 N2 U/ l$ T9 W0 B
　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
  
$ P6 N$ c& O) R/ D4 K; [* S7 \; H

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
0 w9 b! ^( s3 T打上本站发布的6个补丁即可防止此病毒

5 P+ j4 {) Y. `
是吗？
6 P/ I1 w% j( x* p7 z+ }1 u偶装了
2 I' i1 |) f/ ]' F今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒
! ~/ o  m- v; D: z( c

5 s) k. f% M/ F4 `
是吗？
" X, A6 }) O6 Q0 {8 R) r, Z0 n9 @ 偶装了
+ A; ]- \! J% D; c 今天重装系统后就装了补丁
[/quote]

持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁