JDP 發表於 2005-8-18 11:35:03

極速波病毒(I-Worm/Zobot)

極速波病毒(I-Worm/Zobot)技術分析報告
作者:江民 發文時間:2005.08.16


病毒名稱:極速波(I-Worm/Zobot)

病毒類型:蠕蟲、後門

病毒大小:22528位元組

傳播方式:網路

危害程度:★★★

2005年8月15日,江民反病毒中心截獲一個利用微軟“即插即用服務代碼執行漏洞”(MS05-039)的蠕蟲病毒I-Worm/Zotob。該病毒利用最新漏洞傳播,並且可以通過IRC接受駭客命令,使被感染電腦被駭客完全控制。

病毒具體技術特徵如下:

1. 病毒運行後,將創建下列文件:

%SystemDir%\botzor.exe, 22528位元組

http://tech.ccidnet.com/pub/attachment/2005/8/484007.jpg

2. 在註冊表中添加下列啟動項:



"WINDOWS SYSTEM" = botzor.exe



"WINDOWS SYSTEM" = botzor.exe

這樣,在Windows啟動時,病毒就可以自動執行。

http://tech.ccidnet.com/pub/attachment/2005/8/484009.jpg

3. 通過TCP埠8080連接IRC伺服器,接受並執行駭客命令。可導致被感染電腦被駭客完全控制。

4. 在TCP埠33333開啟FTP服務,提供病毒檔下載功能。利用微軟即插即用服務遠端代碼執行漏洞(MS05-039)進行傳播。如果漏洞利用代碼成功運行,將導致遠端目標電腦從當前被感染電腦的FTP服務上下載病毒程式。如果漏洞代碼沒有成功運行,未打補丁的遠端電腦可能會出現services.exe進程崩潰的現象。

http://tech.ccidnet.com/pub/attachment/2005/8/484011.jpg

5. 修改%SystemDir%\drivers\etc\hosts檔,遮罩大量國外反病毒和安全廠商的網址。並有下列文本:

MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

針對該病毒,KV殺毒軟體在8月15日升級病毒庫後可以查殺。在此提醒廣大用戶,請注意及時升級病毒庫,開啟即時監控,立刻安裝微軟的安全補丁。保護您的系統不受此病毒的威脅。
http://tech.ccidnet.com/art/1099/20050816/311363_1.html

JDP 發表於 2005-8-18 11:35:43

專家對比“三波” 極速危害大於衝擊震盪

專家對比“三波” 極速危害大於衝擊震盪
作者:江民 發文時間:2005.08.16


繼微軟8月9日發佈了6個安全漏洞補丁之後,國內外駭客紛紛公佈利用這些最新漏洞的攻擊程式。江民科技於8月12日發佈了預警,指出利用Windows即插即用遠端代碼執行漏洞(MS05-039)的程式潛在威脅更大,如果成功利用該漏洞,甚至可能出現具有像“衝擊波”和“震盪波”病毒一樣的傳播能力的惡意蠕蟲。距離江民發佈的預警僅僅兩天,8月14日,就出現了利用MS05-039漏洞的蠕蟲病毒“極速波”I-Worm/Zotob,該病毒除具備衝擊波震盪波的傳播能力外,還可以通過IRC接受駭客命令,使被感染電腦被駭客完全控制。反病毒專家日前對“三波”病毒進行了對比分析。

http://tech.ccidnet.com/pub/attachment/2005/8/484019.jpg
(“三波”病毒特徵對比分析)


利用漏洞速度比較

自2005年8月9日,微軟發佈MS05-039(即插即用服務遠端代碼執行漏洞)安全更新程式,僅僅5天就出現了利用該漏洞傳播的蠕蟲病毒——“極速波”。而2004年4月30日爆發的震盪波病毒,和MS04-011(2004年4月13日)相隔17天。相較於前兩者,衝擊波出現距離相關漏洞發佈的時間最長,為26天。

傳播能力比較

極速波和衝擊波、震盪波一樣,都可以利用系統的漏洞進行主動傳播,但極速波的傳播能力稍遜。對於Windows 2000用戶,三者同樣可怕;對於Windows XP用戶來說,類似極速波的病毒需要知道目標電腦的管理員帳號和密碼才能進行感染。不過,鑒於很多Windows XP用戶Administrator帳號沒有設置密碼的實際情況,極速波及其後續變種對這些XP用戶的威脅和衝擊波、震盪波病毒同樣顯著。

病毒危害性比較

極速波是在“麥濤”病毒的基礎上,增加利用MS05-039漏洞的功能而編寫成的。除了會向衝擊波、震盪波病毒那樣造成系統崩潰、倒計時重啟現象外,它還可以從IRC接受駭客命令,導致中毒電腦可以被駭客完全控制。

囂張程度比較

極速波相較於衝擊波和震盪波更加倡狂,它對反病毒廠商提出公開挑戰,揚言:第一個發現的反病毒軟體 將在24小時內遭到“剿殺”(MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!)。

有鑒於衝擊波和震盪波的大規模爆發,專家指出“極速波”很有可能還會出現新的變種,江民反病毒專家建議廣大用戶,立即運行Windows更新程式,安裝微軟補丁,同時,注意及時升級江民殺毒軟體KV2005殺毒軟體,以免受到惡意代碼和惡性蠕蟲的侵害。

http://tech.ccidnet.com/art/1099/20050816/311377_1.html

JDP 發表於 2005-8-18 11:36:17

W32.Zotob.A
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html

W32.Zotob.B
http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html
頁: [1]
查看完整版本: 極速波病毒(I-Worm/Zobot)