分享
 
 
 

“大师”病毒火速来袭剑指微软漏洞

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

12月16日,金山反病毒应急处理中心截获一个针对微软系统严重漏洞进行主动攻击的病毒,并命名为“大师”(Worm.Dasher.A及其变种Worm.Dasher.B)。金山的反病毒专家说,大师(Dasher)病毒利用漏洞主动传播,对于个人电脑的危害程度与臭名昭著的震荡波、狙击波相近,该病毒利用漏洞攻击操作系统默认打开的端口,将有可能造成大规模的传播。

“大师”利用今年10月微软公布的MS05-051(MSDTC和COM+服务)漏洞,攻击TCP端口1025。这一攻击利用该漏洞执行病毒代码,造成目标系统缓冲区溢出,运行病毒进行传播。

中毒症状:

金山的反病毒工程师表示,Dasher除了加入MS05-051的系统严重漏洞进行主动攻击,除了使其大大提高病毒传播的广度外,还可以通过网络直接链接病毒作者的服务端,使病毒的制造者可以对中毒的电脑进行远程完全控制,使病毒本身同时具有邮件传播、自动下载新病毒等危害,使中毒用户遭受攻击。其变种B更是从病毒作者的FTP服务器上下载其它可执行程序。这些程序可能是其它病毒或木马,将可能造成更大的危害和损失。

金山反病毒专家建议用户:

第一,用户应该及时下载微软公布的最新补丁,来避免病毒利用漏洞袭击用户的电脑。

第二,最新的金山毒霸2006具有漏洞自动修复功能,可以帮助用户在第一时间内避免因为漏洞带来的冲击,避免相关原因给用户电脑造成的危害。

“大师”病毒变种A分析报告

该病毒是一个蠕虫病毒,利用微软分布式事务处理协调器服务漏洞(Microsoft Windows Distributed Transaction Coordinator, Microsoft Security Bulletin MS05-051)传播,该服务使用tcp 1025端口。

病毒自己以RAR压缩后,发送出去

1、创建以下文件

%systemroot%\Temp\SqlExp.exe , 病毒的破坏程序

%systemroot%\Temp\Sqlrep.exe, 命令解析器

%systemroot%\Temp\SqlScan.exe, 端口扫描程序

%systemroot%\Temp\Sqltob.exe, 蠕虫的主程序

2、添加注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"Windows Update" = "%windir%\Temp\Sqltob.exe"

3、传建以下和溢出相关的文件

%systemroot%\Temp\SqlScan.bat

%systemroot%\Temp\log.txt

%systemroot%\Temp\Temp.txt

%systemroot%\Temp\Result.txt

4、使用SqlScan.bat去调用SqlScan.exe,来查找有该漏洞的主机

5、产生以下范围ip地址去攻击

A.A.1.1 -- B.B.255.254

A和B从以下数字58, 59, 60, 61, 62, 80, 81, 82, 83, 84, 85, 130, 133, 140, 160, 162, 163, 165, 168,193, 194, 195, 200, 202, 203, 210, 211, 213, 217, 218, 219, 220, 221, 222中随机抽取

6、如果远程计算机存在该漏洞,就会对该系统发出ShellCode,来溢出该计算机,溢出成功后该计算机会连向222.240.219.143,并且等待远程的控制

“大师”病毒变种B分析报告

该病毒是一个利用MS05-051(微软分布式事务处理协调器服务漏洞)漏洞通过端口1025传播的蠕虫。该病毒运行时,会在系统目录生成文件,并随开机启动。该病毒会在用户主机上打开后门,使用户主机受到远程入侵。该病毒还会下载并执行其它病毒。

1、生成文件

%System%\wins\SqlExp.exe

%System%\wins\SqlScan.exe

%System%\wins\svchost.exe

%System%\wins\log.txt

%System%\wins\Result.txt

2、该病毒会使用tcp端口1025扫描含有MS05-051漏洞的主机,并传播该病毒。

3、该病毒扫描攻击如下范围的ip地址

%ip1%.%ip2%.1.1―%ip1%.%ip2%.255.254

其中%ip1%、%ip2%随机取下列值

58, 59, 60, 61, 62, 80, 81, 82, 83, 84, 85, 130, 133, 140, 159, 160, 162, 163, 165, 168, 192, 193, 194, 195, 200, 202, 203, 210, 211, 213, 217, 218, 219, 220, 221, 222

4、该病毒会连接ip为222.240.219.143的主机,tcp端口为53,以等待远程控制命令。

5、该病毒会从159.226.153.2等地址,tcp端口21211下载0.exe, 1.exe,和 x.bat,并执行。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有