6571论坛 » 〖电脑网络〗 » 【紧急公告】病毒“Zotob”(狙击波)最新发展情况及解决方案

Tony 发表于 2005-8-19 05:37

【紧急公告】病毒“Zotob”(狙击波)最新发展情况及解决方案

<P><FONT color=#ff0000 size=3>请大家立刻下载并打上相关的补丁，以免出现中毒情况！！！ </FONT></P>
<P>8月15日,金山反病毒应急处理中心截获一个针对微软系统严重漏洞进行主动攻击的病毒，并命名为Zotob(Worm.Zotob.A)。金山的反病毒专家说，Zotob病毒利用漏洞主动传播，对于个人电脑的危害非常大，其危害程度与当年的震荡波相似，一旦被攻击，用户的电脑将会出现不断重启、系统不稳定等情况。病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀！</P>
<P>Zotob利用5天前微软刚刚公布的严重系统漏洞，Windows Plug and Play 服务漏洞 (MS05-039)， 攻击TCP端口445，和冲击波、震荡波方法类似，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。</P>
<P>病毒攻击目标系统时，可能造成系统不断重启（如图示），与震荡波、冲击波发作的时候类似，只不过在Zotob影响的进程变了，变为系统关键进程“Service.exe”， Zotob其实是Mytob的最新变种。Mytob是前一阵大肆泛滥的邮件病毒。此次变种，更是加入了5天前才公布漏洞补丁的系统严重漏洞（Windows Plug and Play 服务漏洞 (MS05-039) ）进行主动攻击，使其大大提高了病毒传播的广度。因此，Zotob除了利用漏洞攻击外，还具有邮件传播、自动下载新病毒等等这些与邮件病毒所具有的危害，使中毒用户遭受打击。</P>
<P>[attach]13958[/attach][br]病毒运行后，将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项： [br][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [br]"WINDOWS SYSTEM" = botzor.exe [br][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [br]"WINDOWS SYSTEM" = botzor.exe [br]这样，在Windows启动时，病毒就可以自动执行。[br]“极速波”病毒通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。[br]该病毒的危害还在于，病毒会修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战：第一个发现的反病毒软件 将在24小时内遭到“剿杀”。（MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!） </P>
<P>关于MS05-039: [br]影响系统： [br] Microsoft Windows XP SP2 [br] Microsoft Windows XP SP1  [br] Microsoft Windows Server 2003 SP1  [br] Microsoft Windows Server 2003  [br] Microsoft Windows 2000SP4</P>
<P>Microsoft Windows即插即用（PnP）功能允许操作系统在安装新硬件时能够检测到这些设备。  [br]   [br] Microsoft Windows即插即用功能中存在缓冲区溢出漏洞，成功利用这个漏洞的攻击者可以完全控制受影响的系统。  [br]   [br] 起因是PnP服务处理包含有过多数据的畸形消息的方式。在Windows 2000上，匿名用户可以通过发送特制消息来利用这个漏洞；在Windows XP Service Pack 1上，只有通过认证的用户才能发送恶意消息；在Windows XP Service Pack 2和Windows Server 2003上，攻击者必需本地登陆到系统然后运行特制的应用程序才能利用这个漏洞。 [br]  [br] 该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动![br] 注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样! [br]   [br] 提醒大家升级杀毒软件,及时打好系统补丁[br]  [br] 该代码危害极大,可以远程获得计算机的全部权限而该电脑只要连接到INTELNET或者局域网内即可,还可以制作Zotob类似病毒,请勿使用该代码从事非法活动! [br] 注意如果不采取防护措施,即使什么都没有做也会中毒同震荡波一样! </P>
<P>先锋提醒大家升级杀毒软件,及时打好系统补丁 </P>
<P>厂商补丁：  [br] [br] Microsoft  [br] --------- [br] Microsoft已经为此发布了一个安全公告（MS05-039）以及相应补丁:  [br] MS05-039：Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588) [br] 链接：<a href="http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx?pf=true" target="_blank" >http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx?pf=true</A> [br]  [br] 补丁下载： [br]  [br] Microsoft Windows 2000 Service Pack 4 – 下载更新：  [br] <a href="http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&amp;FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F" target="_blank" >http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&amp;FamilyID=E39A3D96-1C37-47D2-82EF-0AC89905C88F</A>  </P>
<P>Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2 – 下载更新：  [br] <a href="http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&amp;FamilyID=9A3BFBDD-62EA-4DB2-88D2-415E095E207F" target="_blank" >http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&amp;FamilyID=9A3BFBDD-62EA-4DB2-88D2-415E095E207F</A> </P>[br]
[align=right][color=#000066][此贴子已经被作者于2005-8-18 22:09:35编辑过][/color][/align]

Tony 发表于 2005-8-19 05:49

<FONT color=#f70938 size=2>病毒分析报告[br]</FONT>[br]病毒评估 [br]  [br]1．病毒英文名：Worm.Zotob [br]2．病毒类型：蠕虫病毒 [br]3．病毒危险等级：★★★☆  [br]4．病毒传播途径：网络  [br]5．病毒依赖系统：WIN 2000/XP/2003 [br]  [br]二、病毒破坏 [br]  [br]1．造成系统频繁重启[br]当病毒攻击失败的时候，会造成系统频繁重启。 [br]  [br]2、给系统开设后门[br][br]3、修改系统文件，使用户的杀毒软件不能升级。 [br]  [br]三、技术分析  [br]   [br]一旦执行,病毒将执行以下操作:  [br]  [br]1. 病毒启动后，会将自己复制到系统目录中，病毒文件名为“botzor.exe”。  [br]   [br]2、在注册表中添加下列启动项：[br]  [br]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run  [br]  "WINDOWS SYSTEM" = botzor.exe [br]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices [br]  "WINDOWS SYSTEM" = botzor.exe; [br]3、在感染的时候，病毒利用IP扫描的方式在网络中寻找具有漏洞的系统，发现后就会对系统进行攻击，连接系统的445端口，并植入系统中一个远程SHELL，此远程SHELL释放一个文件 2PAC.TXT，此文件中包含有一段FTP命令脚本，功能是利用FTP从远程将病毒文件下载到本地。 [br]  [br]4、如果攻击失败，则造成系统重启。 [br]   [br]5、修改系统的host文件，添加如下内容：[br]?j[br]Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3 [br]MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! [br]127.0.0.1 <a href="http://www.symantec.com/" target="_blank" >www.symantec.com</A> [br]127.0.0.1 securityresponse.symantec.com [br]127.0.0.1 symantec.com [br]127.0.0.1 <a href="http://www.sophos.com/" target="_blank" >www.sophos.com</A> [br]127.0.0.1 sophos.com [br]127.0.0.1 <a href="http://www.mcafee.com/" target="_blank" >www.mcafee.com</A>   [br]127.0.0.1 mcafee.com M?? [br]127.0.0.1 liveupdate.symantecliveupdate.com  [br]127.0.0.1 <a href="http://www.viruslist.com/" target="_blank" >www.viruslist.com</A>  [br]127.0.0.1 viruslist.com   [br]127.0.0.1 viruslist.com  [br]127.0.0.1 f-secure.com   [br]127.0.0.1 <a href="http://www.f-secure.com/" target="_blank" >www.f-secure.com</A>   [br]127.0.0.1 kaspersky.com   [br]127.0.0.1 kaspersky-labs.com   [br]127.0.0.1 <a href="http://www.avp.com/" target="_blank" >www.avp.com</A>   [br]127.0.0.1 <a href="http://www.kaspersky.com/" target="_blank" >www.kaspersky.com</A>  [br]127.0.0.1 avp.com   [br]127.0.0.1 <a href="http://www.networkassociates.com/" target="_blank" >www.networkassociates.com</A>  [br]127.0.0.1 networkassociates.com  [br]127.0.0.1 <a href="http://www.ca.com/" target="_blank" >www.ca.com</A>  [br]127.0.0.1 ca.com [br]127.0.0.1 mast.mcafee.com  [br]127.0.0.1 my-etrust.com  [br]127.0.0.1 <a href="http://www.my-etrust.com/" target="_blank" >www.my-etrust.com</A>   [br]127.0.0.1 download.mcafee.com  [br]127.0.0.1 dispatch.mcafee.com   [br]127.0.0.1 secure.nai.com  [br]127.0.0.1 nai.com  ?? [br]127.0.0.1 <a href="http://www.nai.com/" target="_blank" >www.nai.com</A>  [br]127.0.0.1 update.symantec.com [br]127.0.0.1 updates.symantec.com   [br]127.0.0.1 us.mcafee.com  [br]127.0.0.1 liveupdate.symantec.com  [br]127.0.0.1 customer.symantec.com  [br]127.0.0.1 rads.mcafee.com [br]127.0.0.1 trendmicro.com [br]127.0.0.1 pandasoftware.com  [br]127.0.0.1 <a href="http://www.pandasoftware.com/" target="_blank" >www.pandasoftware.com</A>   [br]127.0.0.1 <a href="http://www.trendmicro.com/" target="_blank" >www.trendmicro.com</A>  [br]127.0.0.1 <a href="http://www.grisoft.com/" target="_blank" >www.grisoft.com</A>  [br]127.0.0.1 <a href="http://www.microsoft.com/" target="_blank" >www.microsoft.com</A>  [br]127.0.0.1 microsoft.com  [br]127.0.0.1 <a href="http://www.virustotal.com/" target="_blank" >www.virustotal.com</A>  [br]127.0.0.1 virustotal.com  [br]127.0.0.1 <a href="http://www.amazon.com/" target="_blank" >www.amazon.com</A>  [br]127.0.0.1 <a href="http://www.amazon.co.uk/" target="_blank" >www.amazon.co.uk</A>  [br]127.0.0.1 <a href="http://www.amazon.ca/" target="_blank" >www.amazon.ca</A>  [br]127.0.0.1 <a href="http://www.amazon.fr/" target="_blank" >www.amazon.fr</A>   [br]127.0.0.1 <a href="http://www.paypal.com/" target="_blank" >www.paypal.com</A>  [br]127.0.0.1 paypal.com  [br]127.0.0.1 moneybookers.com  [br]127.0.0.1 <a href="http://www.moneybookers.com/" target="_blank" >www.moneybookers.com</A>  [br]127.0.0.1 <a href="http://www.ebay.com/" target="_blank" >www.ebay.com</A>  [br]127.0.0.1 ebay.com  [br]造成用户不能访问上述网站，使相关杀毒软件不能升级。
[align=right][color=#000066][此贴子已经被作者于2005-8-18 22:13:04编辑过][/color][/align]

Tony 发表于 2005-8-19 05:53

<P>手工清除病毒方法： [br]<FONT color=#f70909>  手动杀毒办法：</FONT> [br]  [br]1、 在任务管理器里面结束botzor.exe进程 [br]   [br]2、 运行REGEDIT，打开注册表编辑器，删除病毒在注册表中添加的启动项 [br][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [br]"WINDOWS SYSTEM" = botzor.exe [br][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]  [br]"WINDOWS SYSTEM" = botzor.exe [br]  [br]3、将病毒在系统目录下创建botzor.exe文件删除,大小为22528字节。</P>
<P><FONT color=#ff0000>专杀工具:</FONT></P>[br][attach]13957[/attach][br]
[align=right][color=#000066][此贴子已经被作者于2005-8-18 22:10:10编辑过][/color][/align]

bluesszm 发表于 2005-8-19 06:00

<P>虽未亡羊，补牢犹为未晚.....</P>
<P>马上去下补丁！！</P>
<P>（还是有几处是看不懂的messy code）</P>

Tony 发表于 2005-8-19 06:15

乱码已修正.<br>

依娃 发表于 2005-8-19 06:18

下不来补丁啊。。。

David 发表于 2005-8-19 07:08

<P>现在用msn的朋友越来越多了，我顺便补充一个：</P>
<P>
<TABLE blogpost" cellSpacing=0 width="100%" border=0>

<TR>
<TD class=ellipse><STRONG></STRONG></TD></TR>
<TR>
<TD class=bvh8><STRONG></STRONG></TD></TR>
<TR>
<TD>
<DIV>If someone tries to send you a file called <STRONG>msnplus8final.exe</STRONG>, </DIV>
<DIV> </DIV>
<DIV align=center><FONT color=#ff0000>DO NOT ACCEPT IT!</FONT></DIV>
<DIV><FONT color=#ff0000></FONT> </DIV>
<DIV>
<P align=justify>Yes its a <a href="http://www.sophos.com/virusinfo/analyses/w32antixa.html" target="_blank" >virus</A>. <STRONG>W32/Antix-A </STRONG>is a newer version of W32.Kelvir that was prevalent <a href="http://spaces.msn.com/members/overdo/Blog/cns!1pblmMr_hmyvbBjvNahNPCsg!495.entry" target="_blank" >earlier in the year</A>.</P></DIV></TD></TR></TABLE></P>
<P> <FONT color=#ff0033>Digest from <a href="http://spaces.msn.com/members/overdo/" target="_blank" ><STRONG>Overdo's Space</STRONG></A></FONT></P>
<P><FONT color=#ff0033></FONT> </P>
<HR>
如果有人向你发送一个文件名为<STRONG>msnplus8final.exe</STRONG>的文件，千万不要接受！它是一个病毒，<STRONG>W32/Antix-A </STRONG>是今年初流行的病毒的W32.Kelvir的变种。大家千万小心！

时间忘记了 发表于 2005-8-19 09:45

早知道就好了。。。中过两次。。两次都重装了。。

爱上海 发表于 2005-8-26 17:53

我前几天也中了那个zotob病毒,系统老自动重启后来上网查着是怎么回事后就想先用手动杀毒，但进入注册表后找不着要删的那几个东西，那个进程表里也没有那一项，后来无奈下了专杀工具，共用了三种不同的也没杀出来，不过安了补丁又把mcafee换成卡巴斯基后就再也没自动重启过。这究竟是怎么回事？说明我没中毒只是被攻击了几次但没成功？还是那个病毒仍然在啊？

查看完整版本: 【紧急公告】病毒“Zotob”(狙击波)最新发展情况及解决方案