“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
, Y+ N' c7 X! k) c   
   

        　

    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。
- p9 c% h4 x! ~
　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
( v/ e1 m& ^6 K( h(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
9 v3 `3 c. G7 O& ^; [(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.
1 j% ]% o# `3 N, e1 _( [/ L
5 }! C. l/ \9 w0 h" b8 w
　该病毒具体特征如下:
6 `4 o' O, u. ]+ |+ N; l5 s6 v) w, w3 G
4 O  [) Q6 v) o0 Q0 i. s(1)文件特征:
7 B- w8 ^3 B! Q+ a( ^4 E/ l# I) Q: Vmsiwin84.exe
. j  }7 T# ?7 ^% e, R, V修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
; Q! ~: `' O. ^' @, y
(2)注册表特征:
修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

% ]1 {4 X* X4 h2 l. b2 A9 q(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
6 H# F- J/ t0 H8 o: s% m127.0.0.1 www.symantec.com
0 i8 p& v4 c1 X  K1 r# l127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
$ v% i( ~7 g- ~. c2 c127.0.0.1 www.mcafee.com
0 P) a5 y' s0 t) C, l- u4 z127.0.0.1 mcafee.com
% l/ p, w8 h7 m; Z, k' ?127.0.0.1 liveupdate.symantecliveupdate.com
1 {8 v  u. i$ H# L* I: B0 |6 i) L127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
: L7 |$ ^( r* F* ~8 L" R1 K5 d6 P0 d127.0.0.1 kaspersky.com
' t% [3 r' O$ {( j" t127.0.0.1 kaspersky-labs.com
0 r) M! G7 o6 p: @% ?' c127.0.0.1 www.avp.com
* O. Z, h* h4 K" b127.0.0.1 www.kaspersky.com
$ i5 e: y# u) F# o1 t3 n127.0.0.1 avp.com
( P/ x2 ~& {/ N127.0.0.1 www.networkassociates.com
2 s; [0 z- d/ S* t127.0.0.1 networkassociates.com
# y* y$ ?: g" N/ }3 n127.0.0.1 www.ca.com
127.0.0.1 ca.com
3 Y" }  p  r; Q& Q8 X, Q, }1 `127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
9 j8 v6 w$ P5 G: l9 @& a127.0.0.1 secure.nai.com
8 E1 j+ [& w' r127.0.0.1 nai.com
127.0.0.1 www.nai.com
! }: ^3 Z: d& l- V% U, y  h" h127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
" r; U) Q7 p$ H8 O1 Z127.0.0.1 rads.mcafee.com
7 ]) y+ Q7 M2 Q. H127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
+ A. J) K4 T9 ^9 B1 h- w127.0.0.1 www.grisoft.com
文件是系统目录下的drivers\etc\hosts 文件。
  {/ T2 s* s2 Z  B+ f
. \& W  Y4 r& I+ P6 D# X(4)终止进程:
irun4.exe
, N& u6 K! U' e: vSsate.exe
# c  ~- _1 \9 c6 Gi11r54n4.exe
0 d; g* w; Q! e2 r+ M5 R! o2 B+ J; Qwinsys.exessgrate.exe
d3dupdate.exe
) p, H7 n! \& j% b5 T- T$ F+ `) ybbeagle.exerate.exe
" D* p; j. l- c( Q
(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。

+ S2 E9 V! }( D* {* f, e+ ]1 g(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
) H. J  e/ F7 `9 `4 j9 G(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。
% A; |3 ~* G  W
(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。

　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
5 f1 ~5 Z2 P0 x: b3 A# k$ B) e  

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
0 j9 Q/ A2 \$ ]: b; ?打上本站发布的6个补丁即可防止此病毒

是吗？
7 X# p9 ?# r4 C1 j& q偶装了
% W' a9 l- O) O; E1 j今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
9 I7 l! \$ Z0 V! X' z1 i[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒

3 c2 I8 O; t0 N8 ~: q% A" L* H 是吗？
偶装了
今天重装系统后就装了补丁
[/quote]

持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁