今天是微软“即插即用程序”漏洞(MS05-039)公告的第九天,一例利用该漏洞传播的“清理工”病毒的变种,即“W32/DrudgeBot.B-net”被Fortinet安全响应中心截获。到目前为止,已经有至少12个不同的病毒在互联网上搂着微软“PnP”漏洞欣喜若狂。
“Zotob”是最早蹦出来的,“清理工”的病毒作者在这款新变种里,提高自身权限,从进程、文件、启动项三个方面首先对W32/Zotob.A-net 、W32/Zotob.B-net进行了彻底清理,然后再把另一个利用该漏洞的蠕虫病毒(文件名为“winpnp.exe”或“pnpsrv.exe”)做掉,最后才静下心慢慢剔除CMESys、QuickTime Task这些小喽?。
剪除了情敌的撞车之患,“清理工”病毒可以安稳地独自地享用微软这个新漏洞,从那些毫不知情的没来得及打补丁的互联网用户系统里获得任意操纵、偷窃隐私的神秘感觉。另外,新的变种对于IP地址以“10.”、“192.168.”、“127.”、“169.254.”、“0.”开头的主机不屑一顾。病毒作者还没有嚣张到挑挑拣拣的程度,只不过是不敢面对更容易在这类主机所在网络里布置的防火墙。
Fortinet病毒研究人员提醒大家,特别是Windows2000用户,尽快为系统打上最新的安全补丁,设置安全的系统密码,才能远离这场愈演愈烈的“PnP漏洞”之争。
关于该变种的详细分析,请参考:
http://www.fortinet.com.cn/FortiGuardCenter/VirusDocuments/W32_DrudgeBot.B-net.html
关于漏洞的详细情况,请参考:
http://www.microsoft.com/technethttp://security.chinaitlab.com/Bulletin/MS05-039.mspx