8月17日,McAfee 旗下的McAfee AVERT(反病毒和漏洞紧急响应小组)把最近发现的W32/IRCbot.worm!MS05-039 蠕虫病毒(也称作IRCbot.worm!MS05-039)评定为高度风险等级。 IRCbot.worm!MS05-039蠕虫病毒从早期微软的漏洞公告发布到该病毒大规模传播仅仅有7天时间,而之前的冲击波(Sasser)用了14天才达到这个效果。
微软于8月9日发布的漏洞,同样也被曾制造大量SDBot 变种的病毒编写者以及称作Zotob的新病毒定为攻击目标。IRCbot.worm!MS05-039蠕虫病毒是这些病毒当中最先发作的一个。目前, McAfee AVERT已经收到来自美国本土被此病毒感染的150 多例用户报告。同时,AVERT 还收到了来自亚洲和欧洲的报告。
病毒一览
IRCbot.worm!MS05-039蠕虫病毒的目的是为了联络远程IRC服务器,并等待进一步的指令。如果该病毒运行在未打上针对MS05-039漏洞的补丁,它就会不断地重启。受感染系统就会监听8594端口。
病毒原理
当文件打开时,病毒就会把自身复制到微软的系统目录 (e.g. C:\Windows\System32\ on Windows XP) 当中,作为WINTBP.EXE执行文件。该文件能够通过暴露MS05-039漏洞而自动运行,也可以通过人为操作进行执行。
系统保护和修复
更多关于IRCbot.worm!MS05-039蠕虫病毒和它的查杀方法,可以在McAfee AVERT的网站上进行查询: https://vil.nai.com/vil/content/v_135491.htm。 McAfee AVERT已经公布了新的DAT文件,用户可以通过网站进行下载。 (责任编辑:韩建光)
|