|
发现日期:2005年8月15日
该病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),在微软发布安全公告后短短的5天之内即出现该蠕虫,表明病毒作者利用漏洞的能力越来越强。用户电脑感染了该病毒之后,在某些情况下会出现系统频繁重启的现象。同时,该病毒会在用户电脑上开设后门,方便黑客对其进行远程控制。
一、病毒评估
1.病毒英文名:Worm.Zotob[br]2.病毒类型:蠕虫病毒[br]3.病毒危险等级:★★★☆[br]4.病毒传播途径:网络[br]5.病毒依赖系统:WIN 2000/XP/2003
二、病毒破坏 [br][br]1.造成系统频繁重启[br]当病毒攻击失败的时候,会造成系统频繁重启。
2、给系统开设后门
3、修改系统文件,使用户的杀毒软件不能升级。
三、技术分析
一旦执行,病毒将执行以下操作:
1. 病毒启动后,会将自己复制到系统目录中,病毒文件名为“botzor.exe”。
2、在注册表中添加下列启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run[br]"WINDOWS SYSTEM" = botzor.exe[br]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices[br]"WINDOWS SYSTEM" = botzor.exe;[br]3、在感染的时候,病毒利用IP扫描的方式在网络中寻找具有漏洞的系统,发现后就会对系统进行攻击,连接系统的445端口,并植入系统中一个远程SHELL,此远程SHELL释放一个文件 2PAC.TXT,此文件中包含有一段FTP命令脚本,功能是利用FTP从远程将病毒文件下载到本地。
4、如果攻击失败,则造成系统重启。
5、修改系统的host文件,添加如下内容:
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3[br]MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!![br]127.0.0.1 www.symantec.com[br]127.0.0.1 securityresponse.symantec.com[br]127.0.0.1 symantec.com[br]127.0.0.1 www.sophos.com[br]127.0.0.1 sophos.com[br]127.0.0.1 www.mcafee.com[br]127.0.0.1 mcafee.com[br]127.0.0.1 liveupdate.symantecliveupdate.com[br]127.0.0.1 www.viruslist.com[br]127.0.0.1 viruslist.com[br]127.0.0.1 viruslist.com[br]127.0.0.1 f-secure.com[br]127.0.0.1 www.f-secure.com[br]127.0.0.1 kaspersky.com[br]127.0.0.1 kaspersky-labs.com[br]127.0.0.1 www.avp.com[br]127.0.0.1 www.kaspersky.com[br]127.0.0.1 avp.com[br]127.0.0.1 www.networkassociates.com[br]127.0.0.1 networkassociates.com[br]127.0.0.1 www.ca.com[br]127.0.0.1 ca.com[br]127.0.0.1 mast.mcafee.com[br]127.0.0.1 my-etrust.com[br]127.0.0.1 www.my-etrust.com[br]127.0.0.1 download.mcafee.com[br]127.0.0.1 dispatch.mcafee.com[br]127.0.0.1 secure.nai.com[br]127.0.0.1 nai.com[br]127.0.0.1 www.nai.com[br]127.0.0.1 update.symantec.com[br]127.0.0.1 updates.symantec.com[br]127.0.0.1 us.mcafee.com[br]127.0.0.1 liveupdate.symantec.com[br]127.0.0.1 customer.symantec.com[br]127.0.0.1 rads.mcafee.com[br]127.0.0.1 trendmicro.com[br]127.0.0.1 pandasoftware.com[br]127.0.0.1 www.pandasoftware.com[br]127.0.0.1 www.trendmicro.com[br]127.0.0.1 www.grisoft.com[br]127.0.0.1 www.microsoft.com[br]127.0.0.1 microsoft.com[br]127.0.0.1 www.virustotal.com[br]127.0.0.1 virustotal.com[br]127.0.0.1 www.amazon.com[br]127.0.0.1 www.amazon.co.uk[br]127.0.0.1 www.amazon.ca[br]127.0.0.1 www.amazon.fr[br]127.0.0.1 www.paypal.com[br]127.0.0.1 paypal.com[br]127.0.0.1 moneybookers.com[br]127.0.0.1 www.moneybookers.com[br]127.0.0.1 www.ebay.com[br]127.0.0.1 ebay.com[br]造成用户不能访问上述网站,使相关杀毒软件不能升级。
四、病毒解决方案:
1. 进行升级
瑞星公司已经进行升级,升级后的软件版本号为17.40.02,该版本的瑞星杀毒软件可以彻底查杀Zotob蠕虫病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
[br]2. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆http://online.rising.com.cn/使用在线杀毒产品,或者登陆http://go.rising.com.cn/使用下载版产品。
[br]3. 打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
五、安全建议:
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好安装专业的杀毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。
8. 用户还应该安装个人防火墙软件进行防黑。由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击 | 
发表于 2005-8-17 09:04
