“震荡波”一波未平，“漏波”变种一波又起

煎饼

www.jiangmin.com.cn 2004-5-2 15:37:19 作者: 信息出自:江民科技   
   
3 G" }! N$ D- V8 a' N- C+ n   

        　

4 \- P- ]1 y0 t, r7 y1 @; w7 \% |    5月2日，继“震荡波”病毒之后，又一利用微软操作系统漏洞的病毒被江民反病毒中心成功截获，该病毒英文名为Backdoor/LeakerBot，中文名为“漏波后门病毒”，病毒长度为138752字节，感染的操作系统为Windows NT/2000/XP。最新变种e通过网络共享进行传播，同时也通过雏鹰等蠕虫病毒留下的后门进行传播，病毒传播的主要途径利用了一系列WINDOWS系统漏洞。

　　江民反病毒专家介绍，“漏波”变种利用的主要包括以下三个漏洞：
! j( @0 z9 ~- t" X; R& G(1) DCOM RPC 漏洞(http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)，利用TCP的135端口，这点和冲击波病毒相同。
( e0 p; I4 Q/ D3 Z) C9 |(2)漏洞：http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx (端口是TCP的445端口)
WINDOWS XP用户是http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx.
9 s+ |5 U; h) J- n0 r3 ~(3)http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 这点上和"震荡波"病毒相似.

5 J3 l1 O) c0 H
　该病毒具体特征如下:

% B% |3 u6 [3 {* F(1)文件特征:
msiwin84.exe
修改系统hosts文件,使得感染的机器不能上一些反病毒公司网站.
* ?, u  \  m  y/ E) M( b8 e0 {/ E
& q' V& O. ~, b* A" N(2)注册表特征:
# S; n" ]% C% m' E3 P7 g修改以下注册表,使得病毒能随系统启动时自动运行.增加的键是:Run\Microsoft Upate,数值是：Run\Microsoft Upate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
: k2 W# r$ M& N
2 o- ^0 a7 ~2 B& _! f  |1 z(3)使得感染的机器不能上一些反病毒公司网站，具体修改的内容为:
) p' F0 C0 O- ]& `) D127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
3 T5 P* U8 P" ~+ o. k. r5 V127.0.0.1 www.sophos.com
! C# P# D" }, a* Q- u0 |- n127.0.0.1 sophos.com
2 T/ `- n9 \! ]127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
" Y" z& b1 K, H" U127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
4 t2 u$ n9 n2 O9 k; j127.0.0.1 f-secure.com
' N/ \, e2 q0 K! s" L2 p6 h127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
6 N: Y1 g7 p8 f( E! l: f9 z127.0.0.1 www.avp.com
) f3 m9 j* x$ Q* ^7 C127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
: d& I* V  T, b' `$ U127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
1 ^1 {) _, }. y. K6 Z2 z* K; q127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
2 R* |; z* D! M, @4 L% A127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
) D* C2 {6 P" J127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
5 X( V. n6 R% S6 o127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
0 [7 T% ?% ?" u3 ~! }( g) x  Z127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
! }* k( D5 A! N4 x1 M8 O127.0.0.1 www.grisoft.com
4 m: o% r3 \' z- I% ?文件是系统目录下的drivers\etc\hosts 文件。
7 S# ?+ c3 E1 q3 U) f0 j
6 o' w$ A! b8 [* e' c9 c9 D  D; Y(4)终止进程:
irun4.exe
& _. a1 R: S! K. I4 }4 y  J: ]# D4 aSsate.exe
i11r54n4.exe
winsys.exessgrate.exe
) A8 K; s6 v( x( O5 X4 Y+ nd3dupdate.exe
. p$ k  x" I$ H, N2 b1 ebbeagle.exerate.exe
7 u0 g+ x9 i. n' Q/ F  g
(5)终止WINDOWS系统中的可能已经有的反病毒等安全进程.包括的范围非常广泛。

2 \' E' \  @6 r4 i) j(6)自动猜测局域网的用户名以及密码,用户名以及密码都有很长的猜测缓冲区。
# P* P3 r$ `' t; ?(7)当猜测功能,该蠕虫程序能传播到任何能感染成功的机器,并能自动执行该蠕虫程序。

, G3 ^+ g+ e) o$ k) `(8)通过IRC服务器进行传播,让感染的机器能够接收到远程入侵者的任意指令。
* }! I. v6 Y- c+ o2 o# ^4 `
( t  ~4 X& d' ~, @ 　　江民公司提醒广大用户，请及时关注江民网站最新动态，更新杀毒软件病毒库，打上系统漏洞补丁，即可有效防杀该病毒。   
7 n7 I5 h$ h6 a  
$ b# z, U% p# U' I; k1 e. `

煎饼

打上本站发布的6个补丁即可防止此病毒

西门寻欢

以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒

是吗？
偶装了
! e. O+ e" z2 O今天重装系统后就装了补丁

煎饼

以下是引用西门寻欢在2004-5-4 2:21:55的发言：
[quote]以下是引用煎饼在2004-5-3 21:08:38的发言：
打上本站发布的6个补丁即可防止此病毒
9 e2 I, w/ z1 k0 n& P, W

/ _: w7 |4 a7 K 是吗？
' A9 T  F! T: ]9 I8 j# q- ^ 偶装了
今天重装系统后就装了补丁
[/quote]

持怀疑态度可以自己去考证

天马星空

这些病毒真让人烦心啊!只能小心为好.

猴子很忙

其实我是最讨厌打好多补丁的。。打得多，要影响速度，但是现在是不得不打啊。。。
连放火墙都开了

佚云

真的是补丁年啊，不过我是有啥补丁就打啥补丁