(PS:由于BLOG升级,导致分类中原来一些日志丢失,更多可以参看原BLOG)
昨天国外安全产商就有报道截获最新的利用MS06-040的漏洞攻击的蠕虫病毒,今天上午国内反病毒产商江民和瑞星都第一时间截获并发布了公告,其中瑞星还为此发布了三级黄色预警,这也预示着该蠕虫可能将会在未来段时间内大面积传播开来!
微软在上周刚刚发布最新的安全公告中的MS06-040,在几天后就被利用并传播开来,与去年8月的"狙击波"的速度差不多,由此,我们应该更加重视补丁更新,在最短的时间内做好防范措施.其中企业用户尽快使用WSUS为客户机器安装好最新的补丁更新,防止蠕虫对网络的阻塞.
以下分析报告来自江民:
据江民反病毒专家分析,“魔鬼波”蠕虫运行后,在系统目录下建立大小为9609字节的病毒文件wgareg.exe,该病毒文件经过加壳处理。病毒建立下面服务,以使自己可以在系统启动时自动运行。
服务名:Windows Genuine Advantage Registration Service
服务程序:wgareg.exe
描述:Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling
this service will result in system instability.
“魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行,可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。
运行成功后,病毒会连接IRC服务器接收黑客命令,黑客的IRC服务器域名为:
bniu.househot.com
ypgw.wallloan.com
经江民反病毒专家查询,以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。
通过黑客命令,“魔鬼波”蠕虫可以进行下载运行任意程序,进行拒绝服务攻击(DDoS)等活动,使得用户计算机完全被黑客控制。
一进留言版就弹出对话筐,里面留言全部为空...从第一页一直到十九页全部是垃圾信息...真是晕
已经发信过去告知技术人员修复了,估计等明天白天了...
微软在1月初就第一时间发布了MS06-001号补丁,这个补丁就是为了WMF中的一个漏洞特别提前发布的(我在1月6号这天就第一时间在BLOG上发布了紧急通告:http://old.springbbs.com/p/ms06-001.php).从一月底就开始陆续出现利用WMF漏洞的病毒,多数是出现在一些论坛或者网站上,被入侵后挂上了恶意的WMF的代码.现在这个漏洞可以说是雨后春笋般的出现,有些网站甚至连续几个页面都被挂了恶意的WMF文件,一旦有朋友没有打上该补丁即会中招,一些恶意的WMF中会下载包含了灰鸽子,QQ啊拉大盗等后门和木马,这些程序下载到本地后会对用户造成极大的安全隐患.因此补丁发布了2个多月后还是请大家一定得打好该补丁,切记切记!
这个消息有点发布晚了,大家抱歉~~~卡巴于昨天发布了一个重度风险预警蠕虫Sober变种:Email-Worm.Win32.Sober.y.这例蠕虫以非常快的速度在欧美地区进行传播,因此全球各大反病毒公司也发布了相应等级的预警,其中Mcafee公司为中度风险预警;Symantec(塞门铁克)为3级预警;Panda(熊猫)为橙色预警;F-Secure(冰岛)为Radar Level 1的最高级别预警,可见该例蠕虫的危险性是相当大的,这里企业用户应该特别小心收取相关邮件.
邮件主题:(任意之一)
hi,_ive_a_new_mail_address
Mail delivery failed
Registration Confirmation
smtp mail failed
Spam: Registration Confirmation
Your Password
Your IP was logged
Paris_Hilton_&_Nicole_Richie
You visit illegal websites
邮件正文:(其中之一)
hey its me, my old address dont work at time. i dont know why*!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
---
This is an automatically generated Delivery Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached
---
Account and Password Information are attached!
***** Go to: http://www.{random}.com
***** Email: {random}.com
---
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
---
Account and Password Information are attached! ---
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
---
邮件附件:(其中之一)
mailtext.zip
mail.zip
reg_pass.zip
mail.zip
reg_pass-data.zip
question_list.zip
list.zip
downloadm
mail_body.zip
附件中的ZIP文件含有文件名:File-packed_dataInfo.exe
更加详细的报告请点击这里查看:http://www.viruslist.com/en/viruses/encyclopedia?virusid=99827
