首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>新闻>安全新闻>文章内容
利用MS05-039漏洞传播的蠕虫公告!
来源:www.xfocus.net 作者:Refd0m 发布时间:2005-08-19  

利用MS05-039漏洞传播的蠕虫公告!

Author: Refd0m (Refdom<123>xfocus.org)
Date:2005-08-16

现在一个被命名为Zotob的蠕虫病毒已经在15日早些时候开始被发布,并且造成了一些影响,但由于该蠕虫的溢出代码存在缺陷,部分有MS05-039漏洞的系统在被攻击时会不断重新启动,无法正常运行。这个蠕虫不会感染或者影响到Win95/98/Me/NT系统,但是有可能在这些系统上运行去感染其他的系统。该蠕虫的很多手法冰窖内容Mytob,由于被该蠕虫影响的系统在hosts文件上对几个大型电子商务网站作了手脚,并且受控制于IRC服务器,以及可能有update功能,因此,可能会有攻击者进行Phishing攻击影响,盗窃相关机密信息,比如信用卡资料(目前未证实)。

这个蠕虫通过对MS05-039描述的漏洞进行攻击,有关该漏洞的详细信息请参考:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

该蠕虫特征:
1、在系统上创建一个名为B-O-T-Z-O-R的互斥体以确保只有1个感染的蠕虫在运行
2、复制自身到以下位置:
%System%\csm.exe
3、修改下面的注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在这两项下添加键值:"csm Win Updates" = "csm.exe",以便能够在系统启动时执行。
4、修改下面的键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
设置为4,禁止Win2000/XP的共享访问服务
5、通过TCP8080端口连接到IRC服务器wait.atillaekici.net
6、在TCP33333端口开启一个FTP服务
7、产生随机IP地址,并试图进行扫描感染这些地址的主机,通过利用即插即用服务(Plug and Play )漏洞(MS05-039),蠕虫会在目标系统上打开TCP8888端口的后门,并进行感染
8、复制%System%\2pac.txt文件到新感染的系统上,并执行其中的FTP脚本
9、通过开启的FTP服务,下载%System%\haha.exe文件并在新目标上执行
10、增加下面内容到hosts文件,会导致无法通过域名访问或者更新病毒库;
.... Made By .... Greetz to good friend [REMOVED] in the next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

解决办法:
1、获得相应系统的最新的微软补丁,下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
由于蠕虫修改了hosts文件,可通过其他系统获得补丁,或者直接将hosts文件中新增加的上述内容删除。

2、删除上述注册表被增加内容,以及相应增加的文件。

3、在防火墙或者IP安全策略上BLOCK以下端口:
TCP 139/445
TCP 8080
TCP 3333



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·几个常见的CGI攻击方法
·RAdmin 服务端高级配置
·linux/x86 add root user r00t w
·利用SSL漏洞 专家几分钟攻破微软
·二代身份证可能导致身份信息泄露
·外泄Windows代码者来自微软合作
·呵呵~今天换服务器了
·美国老牌黑客往事:控制电台全部
·支付宝控件漏洞——到底是谁在撒
·Halflife 3.1.1.1 - Remote expl
·我国首破病毒大案 熊猫烧香作者
·“互联网之父”建议深入研究安全
  相关文章
·Microsoft Internet Explorer ja
·RevilloC MailServer 1.x (RCPT
·超文本传输协议有漏洞,导致新型
·miniBB <= 2.0.2 (bb_func_tx
·linux/x86 add root user r00t w
·pst.advisory : gxine remote ex
·Mercur Messaging 2005 IMAP Rem
·pst.advisory: gedit fun. opens
·RAdmin 服务端高级配置
·Golden FTP Server Pro Remote U
·Halflife 3.1.1.1 - Remote expl
·RAdmin 服务端高级配置
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved