“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
% X4 b+ b. P' l+ F: P   
( {5 B  k' f$ J; R5 m# h   
. [1 F3 G& ]5 X- p" k% ?/ E' l. z4 q5 s
1 a) G# n4 G8 z6 R1 ]        　

    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。

　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
8 R* p6 L( D9 O( G5 o7 n+ E(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
, r. H3 o. Q9 M  m+ ~* b: P  u9 MWINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.

4 L9 {0 x% e; }- L% r3 U4 j. m2 q
　该病毒具体特征如下:

- L1 I0 @* r0 i; y(1)文件特征:
9 o3 W" Z3 A  _+ C4 v$ \# q7 Rmsiwin84.exe
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.

1 n5 k7 S* {( y; X. x$ H; w" U(2)注册表特征:
修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
" g& Q5 ~& P, D# `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
; I1 P. t) o, g( u5 {% aHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
# E5 v% f& x. a6 B
(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
127.0.0.1 www.symantec.com
+ L* w0 [/ j& T127.0.0.1 securityresponse.symantec.com
( `" e! R; L. b127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
' _% Q# d5 a% N& o127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
  S& I9 _  [; \6 K: r% r, L127.0.0.1 liveupdate.symantecliveupdate.com
+ W: }- M. K" }6 W127.0.0.1 www.viruslist.com
! S6 N# U! m3 E8 p127.0.0.1 viruslist.com
6 q- X8 U$ [2 Y5 j127.0.0.1 viruslist.com
5 y! c& q3 Q1 C2 e! D3 A127.0.0.1 f-secure.com
0 n6 L" q5 O2 R' {" z( F127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
/ C4 v  }3 b- f1 ?" `127.0.0.1 www.avp.com
* T+ ^: K# X3 w' D; Q127.0.0.1 www.kaspersky.com
  e. g. [7 _- ^9 l3 h127.0.0.1 avp.com
# j# ^" V. |. w127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
7 B7 o6 Z) U9 I8 p1 M* K% \127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
! |& p. u' S- j0 G4 C+ e6 G127.0.0.1 my-etrust.com
7 ^  O( F" ]% r127.0.0.1 www.my-etrust.com
$ x! B- i3 f7 S2 j127.0.0.1 download.mcafee.com
# r5 d5 X" D1 D$ |127.0.0.1 dispatch.mcafee.com
! M8 T) b4 I5 B5 j127.0.0.1 secure.nai.com
127.0.0.1 nai.com
' l7 A+ {. H3 z3 {- `1 `1 ?127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
# D2 u, U3 z7 Z' {& c* U0 z2 ^8 r( {127.0.0.1 us.mcafee.com
& P& b3 o/ e7 O& z127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
, T2 d5 \0 e+ y0 Z4 w% w127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
7 {3 N+ g# I( F4 F  t2 i# N文件是系统目录下的drivers\etc\hosts 文件。

' e5 v1 f& f& ~- L0 S# @0 K(4)终止进程:
irun4.exe
* ^3 m/ N* q- ^7 l" w# D  ?Ssate.exe
( }. k, N1 o" Y0 r% N5 l4 si11r54n4.exe
winsys.exessgrate.exe
7 U' @2 j& U% {9 J9 [d3dupdate.exe
bbeagle.exerate.exe

(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。
% C, k; h2 F# Y" a7 u1 m
(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。

(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
! ?$ A+ [" S7 W/ F1 d6 i
　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
% r: H7 i; ~* F7 {8 N8 L* |  

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒

9 H% z( f, T2 s" B: V是吗？
2 d: H: [# ]4 q偶装了
今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒
( F5 a0 @  @, |2 Y7 {* |

* }8 R* f  E  I, M7 D8 q5 s
是吗？
偶装了
. n& }& D* J& N& y* G 今天重装系统后就装了补丁
[/quote]

7 @3 k/ W' E9 n: F持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁