安全专家目前注意到一个以微软这个月修补的漏洞为目标的攻击代码。但是目前表明黑客仍使用的是两个月前用类似Zotob蠕虫所使用的攻击矢量。
据芬兰反病毒公司的F-Secure公司的消息表明,Mocbot-A最初是以10月11日微软在MS05-047安全公告中所公布的Windows即插即用的漏洞为目标。微软方面表示,攻击者利用了Windows支持硬件热插拔的相关漏洞,远程载入病毒代码或者获得高级用户特权。受影响的操作系统包括Windows 2000 SP4, XP SP1 和 XP SP2。
F-Secure在其博客中写到,经过经一步分析,Mocbot攻击的实际上是微软在早些时间公布的MS05-039漏洞,是而不是MS05-047 。这次的混乱是由Mocbot使用的漏洞入侵代码造成的,该代码类似于MS05-047的公共漏洞入侵代码。我们也收到该频道的bot可能导致所有连接于服务器的bot自动开始扫描易受攻击的计算机的报道,因此它应属于蠕虫病毒。”
F-Secure AV研究室主管Mikko Hypponen说,Mocbot的制造者试图通过电子邮件的传播,制造一个庞大的bot网络。但是其指令服务器似乎没有正常工作,因此目前还没有任何进展。他还补充到,这一系列行为来自俄罗斯。
Mocbot的详细资料
F-Secure说当Mocbot运行时,它将其自身以"wudpcom.exe"形式复制到Windows系统文件夹中,之后建立一个具备下列属性的服务。
服务路径:wudpcom.exe
服务名称:Windows UDP Communication
F-Secure说当bot活动时,它使用下列的IRC服务器bbjj.househot.com 和 ypgw.wallloan.com。 “bot之后连接到一个有密码保护的IRC频道,电脑黑客能够通过此频道发送命令给bot来控制已感染的计算机。
