瑞星反病毒资讯网
 
返回瑞星首页

“Zotob蠕虫”病毒专题

   8月16日,瑞星发布紧急疫情报告,一个利用微软最新漏洞传播的蠕虫病毒(Worm.Zotob)开始在网上大肆传播,有可能在最近几天给整个网络带来较大威胁。根据瑞星客户服务中心的统计数据,截止到16日下午2点,共接到数十个企业网络被感染的报告,其中部分网络已经瘫痪,另外,还有数百名个人用户被感染。

[病毒上报] [免费查毒][免费专杀工具]

“Zotob蠕虫”病毒评估

1.病毒英文名:Worm.Zotob
2.病毒类型:蠕虫病毒
3.病毒危险等级:★★★☆
4.病毒传播途径:网络
5.病毒依赖系统:WIN 2000/XP/2003

专家建议

1.启动瑞星个人防火墙,添加新规则,关闭TCP 139、445端口,这样电脑就不会重启。
2.去微软的网站打好05-039补丁。
3.升级瑞星杀毒软件到17.40.21版本,打开杀毒软件的实时监控功能。

Zotob蠕虫病毒利用微软漏洞作乱互联网
[国内疫情已缓解] [病毒报告] [漏洞细节]
    Worm.Zotob病毒及其变种(Worm.Zotob.b)会在被感染的电脑上开设后门,黑客可以通过这些后门对其进行远程控制。另外,部分被感染电脑将出现反复重启的现象。根据瑞星提供的资料,目前已经确认被感染的电脑和企业网络,使用的全部是Win2000操作系统。

相关资讯
  • 美国国会遭到Zotob蠕虫袭击 国内疫情已有所缓解
  • 微软八月漏洞公布仅五天 多种针对性傀儡虫便浮现
  • 病毒报告:“Zotob蠕虫”病毒可导致系统频繁重启
  • 瑞星发布Zotob病毒疫情报告:已击溃数十企业网络
    		•

    媒体报导
  • 新华网:“Zotob”病毒一天击倒数十企业网络
  • 人民网:“Zotob”病毒一天击倒数十企业网络
  • 新浪科技:瑞星发布“Zotob”病毒疫情报告 击倒数十家企业网络
  • 搜狐:瑞星发布Zotob病毒疫情 一天击倒数十企业网络
  • 网易:瑞星发布Zotob病毒疫情报告 已击倒数十企业网络
  • 计算机世界:瑞星发布Zotob病毒疫情报告 击倒数十企业网络
    		•
    解决方案
    1.瑞星公司已经进行升级,可以彻底查杀Zotob蠕虫病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。

    2.使用在线杀毒下载版清除该病毒

    3.瑞星客服电话:010-82678800
    微软八月安全公告
  • MS05-038 严重等级
  • MS05-039 严重等级
  • MS05-040 重要等级
  • MS05-041 中等等级
  • MS05-042 中等等级
  • MS05-043 严重等级
    		•

    相关专题
  • 震荡波 病毒专题
  • “MSN病毒” 专题
  • SCO炸弹病毒 专题
  • “网络钓鱼”专题
  • 网页恶意代码专题
    		•

    “Zotob蠕虫”病毒特征           
       “Zotob蠕虫”病毒利用了8月9日微软发布的即插即用中的漏洞(MS05-039),用户电脑感染了该病毒之后,在某些情况下会出现系统频繁重启的现象。同时,该病毒会在用户电脑上开设后门,方便黑客对其进行远程控制。

    一、病毒破坏
    1.造成系统频繁重启
    当病毒攻击失败的时候,会造成系统频繁重启。
    2、给系统开设后门
    3、修改系统文件,使用户的杀毒软件不能升级。

    二、技术分析
    一旦执行,病毒将执行以下操作:
    1. 病毒启动后,会将自己复制到系统目录中,病毒文件名为“botzor.exe”。
    2、在注册表中添加启动项。
    3、在感染的时候,病毒利用IP扫描的方式在网络中寻找具有漏洞的系统,发现后就会对系统进行攻击,连接系统的445端口,并植入系统中一个远程SHELL,此远程SHELL释放一个文件 2PAC.TXT,此文件中包含有一段FTP命令脚本,功能是利用FTP从远程将病毒文件下载到本地。
    4、如果攻击失败,则造成系统重启。
    5、修改系统的host文件。
    微软MS05-039漏洞细节           

    一、即插即用漏洞 - CAN-2005-1983:
    即插即用存在远程执行代码和本地特权提升漏洞,成功利用此漏洞的攻击者可以完全控制受影响的系统。

    二、即插即用漏洞 (CAN-2005-1983) 的缓解因素:
  • 在 Windows XP Service Pack 2 和 Windows Server 2003 上,攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 匿名用户或拥有标准用户帐户的用户不能远程利用此漏洞。 但是,具有管理权限的用户可远程使用受影响组件。
  • 在 Windows XP Service Pack 1 上,攻击者必须拥有有效的登录凭据才能尝试利用此漏洞。 匿名用户无法远程利用此漏洞。 但是,具有标准用户帐户的用户可远程使用受影响组件。
  • 采用防火墙最佳做法和标准的默认防火墙配置,有助于保护网络免受从企业外部发起的攻击。 按照最佳做法,应使连接到 Internet 的系统所暴露的端口数尽可能少。              
    •  
    Copyright© 1998 - 2005 Rising Corp. Ltd. All Rights Reserved
    北京瑞星科技股份有限公司 版权所有