• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 硬體行情

極度危險「掃蕩波」 利用微軟漏洞傳播

【賽迪網-IT技術報道】「掃蕩波」(Worm.SaodangBo.a.94208),這是一個利用MS08-067漏洞發動攻擊的蠕蟲下載器,它會將另外一些下載器和盜號木馬下載到用戶電腦中。該毒的攻擊能力非常強,只要系統未打補丁,受攻擊的電腦即使運氣好「免遭毒手」,也會出現系統進程崩潰事件,導致無法上網。

「遠程控制器1032192」(Win32.VirInstaller.Agent.1032192),這是一個遠程控制木馬。它會將用戶電腦系統與黑客遠程伺服器連接

一、「掃蕩波」(Worm.SaodangBo.a.94208) 威脅級別:★★★

微軟MS08-067漏洞公佈之後,利用該漏洞發動攻擊的惡意程序大量湧現。昨日被毒霸反病毒工程師捕獲的「掃蕩波」就是其中威脅最大的一個。

它利用網頁掛馬進行傳播,病毒進入電腦後,立即對局域網內所有電腦進行掃瞄,只要發現它們未打MS08-067漏洞的補丁,就立即將其攻陷,往裡面下載自己的最新版本和大量的其它惡意程序,主要是各類下載器和盜號木馬。

如果對網內電腦的攻擊失敗,這些電腦上則會出現svchost.exe出錯的提示,說「svchost.exe中發生未處理的win32異常」,同時網絡連接中斷。用戶要是發現自己的電腦中出現此情況,就說明您電腦所處的局域網內有機器中毒。這時候,您的電腦並沒有中毒,但千萬不可以有僥倖心理,應該立即打上MS08-067補丁,因為該毒的攻擊不會僅僅一次,而且隨著病毒作者對它進行升級,它會擁有更強的攻擊力。

該毒共含有四個子文件,分別是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。進入系統後,它首先調用vista.exe對本網段(C類)範圍內的所有計算機的445端口進行掃瞄。之後,挑選出可以連上445端口的計算機保存到一個列表文件中。然後,再調用mrosconfig.exe對列表文件中的計算機發送RPC請求,使遠程計算機中的svchost.exe中解析RPC路徑時溢出,在遠程計算機中下載一個名為ko.exe的文件並執行。

ko.exe文件是另一個下載器,它會下載更多的其它惡意程序安裝到被攻擊的計算機上。目前毒霸反病毒工程師在其下載清單中已發現機器狗木馬和針對《QQ三國》、《完美世界》等網游的盜號木馬。

二、「遠程控制器1032192」(Win32.VirInstaller.Agent.1032192) 威脅級別:★

這個遠程木馬的行為比較簡單,它釋放完文件、添加註冊表啟動項後,就會在後台啟動IE瀏覽器,連接病毒作者指定的遠程黑客伺服器。

該毒的文件sea0999.tmp會被釋放到系統臨時目錄%WINDOWS%/TEMP/下,如果能順利運行,它就會開啟端口31801,生成後門。它所連接的黑客伺服器為 udp.hj**123.com,經毒霸反病毒工程師檢查已失效。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。

(

加入好友line@vga9721w
線上客服
@hd119