Board logo

标题: [转帖]蠕虫公告Net-Worm.Win32.Dasher(黛蛇) [打印本页]
作者: h24arb    时间: 2005-12-20 11:26     标题: [转帖]蠕虫公告Net-Worm.Win32.Dasher(黛蛇)

转帖:蠕虫公告Net-Worm.Win32.Dasher(黛蛇)
来自安天实验室:
http://www.antiy.com/index.htm
内容:
   安天CERT小组近日截获一种新型的病毒,该病毒属网络蠕虫类,该病毒主要利用本月微软最高威胁等级漏洞:MS05-051传播,目前变种已经从.a发展到.c。
  病毒自身为一个自解压的蠕虫,运行后会尝试扫描含有多个漏洞的主机,此病毒采用ROOTKIT技术隐藏部分文件,使得用户难以察觉。病毒溢出目标主机后,便会控制目标主机连接到一个动态的ftp服务器下载并运行一个新病毒等相关文件,新病毒将监控用户键盘,接受远程控制。该病毒对用户的威胁较大!
一、病毒文件列表:
文件 说明
%System%\wins\Result.txt端口扫描结果文件
%System%\wins\SqlExp.exeExploit.Win32.MS04-045.k
%System%\wins\SqlExp1.exeExploit.Win32.MS05-039.ac
%System%\wins\SqlExp2.exeExploit.Win32.MS05-051.d
%System%\wins\SqlExp3.exeExploit.Win32.MSSQL-Hello.a
%System%\wins\SqlScan.exeNetTool.Win32.TCPPortScanner
%System%\wins\Sqltob.exeNet-Worm.Win32.Dasher.b
%ProgramFiles%\nzspfrwy.logkeylog文件
%ProgramFiles%\nzspfrwy.dllBackdoor.Win32.PcClient.ij
%ProgramFiles%\nzspfrwy.dl1Backdoor.Win32.PcClient.hp
%ProgramFiles%\nzspfrwy.sysBackdoor.Win32.PcClient.ij
二、病毒标签
感染系统:Windows 2000、Windows XP、Windows 2003
危害等级:高
病毒类型:网络蠕虫
公开范围:完全公开
三、分析说明
1、病毒主要利用本月微软最高威胁等级漏洞:MS05-051传播,辅助以MS04045、MS05039、MSSQL.hello漏洞传播。
2、病毒运行后会扫描网络,目标地址多为国内ip,端口为1025、1433、42、445。
3、增加注册表键降低主机安全性:
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
 键名:SMBDeviceEnabled
 键值:dword:00000000
4、修改注册表键降低主机安全性:
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
 键名:Start
 修改为:dword:00000004
四、清除方案:
1、使用安天木马防线2005+可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
    木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀: 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
作者: chinanic    时间: 2005-12-20 22:54     标题: [转帖]蠕虫公告Net-Worm.Win32.Dasher(黛蛇)

广告?还是病毒警报?
作者: h24arb    时间: 2005-12-27 11:17     标题: [转帖]蠕虫公告Net-Worm.Win32.Dasher(黛蛇)

你说的是,病毒预警.



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2