2005年2月3日,江民反病毒中心截获MSN性感鸡(MSN.DropBot.b)病毒,它可以释放出"罗伯特"后门病毒的最新变种Backdoor/RBot.zj。 据江民反病毒专家何公道介绍,该病毒综合利用了多种传播途径,堪称为2005鸡年第一毒。 一、利用即时通信工具MSN传播:病毒利用了应用广泛的即时通信工具MSN作为传播途径,病毒运行后,弹出一张图片,同时在后台向所有MSN在线好友发送病毒程序winhost.exe,如此反复,传播速度非常快速。 二、利用了系统三大漏洞:病毒综合利用了微软的三大漏洞,微软的WebDav漏洞、冲击波漏洞、震荡波漏洞。 WebDav漏洞: IIS 5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据,远程攻击者利用这个漏洞对WebDAV进行缓冲区溢出攻击,可能以WEB进程权限在系统上执行任意指令。 IIS 5.0的WebDAV使用了ntdll.dll中的一些函数,而这些函数存在一个缓冲区溢出漏洞。通过对WebDAV的畸形请求可以触发这个溢出。成功利用这个漏洞可以获得LocalSystem权限。这意味着,入侵者可以获得主机的完全控制能力。 包含IIS5.0版本的各版本WIN2000操作系统均受此漏洞影响。 冲击波漏洞: 2003年8月,冲击波病毒利用微软 DCOM RPC 漏洞进行对网络发起攻击,导致系统频繁重启, DCOM RPC 漏洞也被称为是冲击波漏洞。 震荡波漏洞: 2004年五一期间,震荡波病毒利用微软的LSASS 漏洞(MS04-011)传播,导致全球数十万台电脑无法连接网络,许多局域网瘫痪,电脑频频提示将在一分钟后重启。 三、可破解系统弱口令:类似于123,ABC这些系统弱口令,都可以被该病毒迅速破解。 病毒还会从IRC上接收黑客命令,使被感染计算机完全被黑客控制,成为"僵尸电脑"。事实上,MSN性感鸡(MSN.DropBot.b)也是前不久江民率先截获的MSN幽灵病毒变种。 ( 责任编辑:韩建光 )
|