瑞星卡卡安全论坛

已经有几位朋友发出了这个的病毒分析报告，在这里一并谢过。

现在已知最少有两个利用MS05-039漏洞的蠕虫，命名为“狙击波”或者“急速波”（Worm.Zotob），属于前几个月比较流行的通过邮件传播的病毒Mytob的变种，总的来说还是属于bot类病毒，现在漏洞仅仅被批露5天之后就出现了利用该漏洞的病毒，毫不夸张的说，也许今后的bot都将会有针对这个漏洞的代码。因此提醒广大用户一定要小心，及时打上补丁，以免造成更大的损失。

附：目前发现的病毒资料

一、狙击波 Worm.Zotob.a 分析报告
该病毒通过MS05-039漏洞进行传播.病毒会向未感染的机器发生漏洞溢出数据包,如果攻击失败,受攻击的机器会发生崩溃,出现倒计时对话框,用户可以通过网络防火墙关闭445端口,以阻止攻击.用户一旦感染该病毒,就会通过IRC被病毒传播者控制.该病毒还会禁止用户更新安全软件.

1. 病毒将自身复制到以下目录：
%system%\botzor.exe

2. 在注册表中添加如下键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
"WINDOWS SYSTEM" = "botzor.exe"
以在每次启动时运行

3. 修改以下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
"Start" = 0x00000004
以阻止WinXP自带的防火墙运行

4.通过MS05-039进行攻击
// -=PNP445=- //transfer complete to ip:

5.病毒会创建以下互斥量,以保证系统只一个进程运行
B-O-T-Z-O-R

6.病毒文件中含有以下作者信息
Botzor2005 By DiablO

7.病毒会链接
diabl0.turk*****s.net
网站的IRC频道,以接受病毒传播者的控制.

8. 修改Host文件
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!
n127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com


二、狙击波变种B Worm.Zotob.b 分析报告
该病毒为VC编写,Upack加壳的蠕虫病毒.通过ms05-039漏洞传播.它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降,网络堵塞
并修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会.

1.建立一个名为"B-O-T-Z-O-R"的互斥量,如果该互斥量存在,则表示本主机已经被病毒感染,直接退出.

2.在系统目录下释放文件csm.exe

3.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和
Software\Microsoft\Windows\CurrentVersion\RunServices上添加
csm Win Updates = csm.exe
使病毒能够随计算机启动而自动运行.

4. 修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4 来禁止Windows自带的防火墙运行

5.修改hosts文件,使用用户无法正常登录一些安全网站
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

5.通过ms05-039漏洞向其它机器发送溢出数据包来传播自身

微软漏洞发布一周即被病毒利用，病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀！

　　2005年8月15日，离微软发布漏洞公告不过一周时间，江民反病毒中心截获一个利用微软"即插即用服务代码执行漏洞"（MS05-039）的蠕虫“极速波”病毒I-Worm/Zotob。
该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。而就在昨天，江民反病毒中心刚刚发布预警，提醒广大电脑用户提访利用微软最新漏洞的病毒出现。

　　病毒运行后，将在系统目录下创建botzor.exe文件,大小为22528字节。在注册表中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"WINDOWS SYSTEM" = botzor.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

　　"WINDOWS SYSTEM" = botzor.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　“极速波”病毒通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。并在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

　　该病毒的危害还在于，病毒会修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并对反病毒厂商提出公开挑战：第一个发现的反病毒软件 将在24小时内遭到“剿杀”。（MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!）

　　针对该病毒，江民KV2005杀毒软件8月15日升级病毒库后可以查杀。江民公司提醒广大用户，请注意及时升级病毒库，开启实时监控，立刻安装微软的安全补丁，保护您的系统不受此病毒的威胁。

引用:

【baohe的贴子】“冲击波”、“震荡波”、“级速波”，每来一“波”，都要“死”一批系统！系统的主人们——不知道早干什么去了？ ...........................

波波本无能，却因系统薄。圈圈小波波，扫荡无心人
无奈……反病毒反病毒，说到底还是无奈

我现在的瑞星监控中心怎么没有运行了?已经升级了的.

引用:

【天下奇才的贴子】 波波本无能，却因系统薄。圈圈小波波，扫荡无心人 无奈……反病毒反病毒，说到底还是无奈 ...........................

怪只怪漏洞层出不穷.

版主，日志如何扫，请教。

引用:

【CrossVirus的贴子】 怪只怪漏洞层出不穷. ...........................

反过来看看。冲击波的时候，我们几乎有一个月的准备时间，但是最后的结果呢？不可否认，大多数人输了。震荡波呢？当时我记得我翻译这个漏洞的资料的时候，到论坛有人发贴求助至少有几天时间。

漏洞可以说客观存在的，现在问题不是这个漏洞会造成什么危险，而是人们应该如何应对这些危险？我希望日后，真的能够有这一天，我们能够从容应对漏洞带来的一切一切……纯粹废话，呵呵，说说而已

Maybe:

mytob source + ms05-039 exploit = zotob

引用:

【virusmaster的贴子】Maybe: mytob source + ms05-039 exploit = zotob ...........................

呵呵，从目前的情况来看，似乎就是这样

引用:

【virusmaster的贴子】Maybe: mytob source + ms05-039 exploit = zotob ...........................

群内有

Hosts中内容...
MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

系统中注册表里没有botzor.exe
这样的病毒文件，照样重起
但是在相同地址的文件
后面有-osboot这样参数

先打补丁试试.
PS:这个病毒杀毒软件已可查杀了.
KILL报:Win32/Zotob.A!Worm
Kaspersky报:Net-Worm.Win32.Mytob.cd

我对病毒不是很了解，不过我也中了这个services.exe的病毒

中了之后重装，再去微软主页升级所有的2000补丁，目前系统运行了23个小时，没重启过

刚打上,不知道管不管用.
Win32.Klez.Foroux 　这是什么病毒呀?

说了半天，瑞星反应就是比其他国内杀毒软件慢。连主页也没个预警。对用户太不负责，就算当时没样本，也应该告诉大家打什么补丁预防啊。卡卡不是谁都会进来看这贴的。

【回复“mql21”的帖子】
你在主页上没看到？

我被这个问题困扰了两三天了，今天通过这里的贴子总算把电脑弄好了，非常非常非常非常非常感谢!我怎么早点不知道有这个论坛呢？以后要经常来学习学习。

我怕打了这个补丁我地电脑会崩溃 因为我地XP是.......

太感谢了！在网上搜索了几天，试过了N种的方法都没用，结果看了这个帖后，打完补丁就没事了，真是帮了我大忙啦~~

ps：特意注册个ID，以后要常来，顺便上来感谢楼主的 ^-^

补丁打不了啊,总说语言不对啊.

BLaster Rpc Exploit 
老是受到这个攻击、接楼主说的下了补丁、可一打、提示：安装程序不能更新您的windows XP文件，恩为安装在您的系统上的语言和更新的语言不同。
  从前我也下过补丁可是都打不上去、急呀、还成天受到这么多的攻击、 唉、请高手给指点下、万分的感谢!

这是偶的图：是不是这种、该怎么处理

附件: 5797842005922205958.bmp