今天下午就遇到一个了很郁闷的问题,员工找我说一台2003服务器突然不断重启,根本登陆不到桌面,一直都是好好的,一时找不到原因,现在怀疑是新病毒
Zotob病毒利用漏洞主动传播,对于个人电脑的危害非常大,其危害程度与当年的震荡波相似,一旦被攻击,用户的电脑将会出现不断重启、系统不稳定等情况。病毒作者叫嚣杀掉这个病毒的杀毒软件将于24小时内被剿杀!
Zotob利用5天前微软刚刚公布的严重系统漏洞,Windows Plug and Play 服务漏洞 (MS05-039), 攻击TCP端口445,和冲击波、震荡波方法类似,攻击代码向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区溢出,同时运行病毒代码,进行传播。
病毒攻击目标系统时,可能造成系统不断重启,与震荡波、冲击波发作的时候类似,只不过在Zotob影响的进程变了,变为系统关键进程“Service.exe”, Zotob其实是Mytob的最新变种。Mytob是前一阵大肆泛滥的邮件病毒。此次变种,更是加入了5天前才公布漏洞补丁的系统严重漏洞(Windows Plug and Play 服务漏洞 (MS05-039) )进行主动攻击,使其大大提高了病毒传播的广度。因此,Zotob除了利用漏洞攻击外,还具有邮件传播、自动下载新病毒等等这些与邮件病毒所具有的危害,使中毒用户遭受打击。
这个蠕虫Zotob.A是将mytob与Microsoft Windows 2000 Plug and Play
Universal Remote Exploit攻击代码结合在一起的产物,并通过TCP445端口扫描其他机器,如果发现漏洞,将
会通过ftp从扫描的机器上下载病毒。
此次的漏洞代码也属远程溢出来进行攻击。通过对漏洞源码的分析,可以看到漏洞代码中提到:
1. 在XP SP1,需要授权用户才能进行攻击;
2. 在XP SP2和2003,要管理员才能进行攻击;
3. 在WIN2000,可以匿名进行攻击
从攻击源码来看,编写者就是在Windows 2000 SP4上进行的测试,所以在此提醒广大员工注意,请赶快给你的
机器安装MS05-039的补丁。
MS05-039漏洞中的Plug and Play服务也是采用X:/WINNT/system32/services.exe,所以很有可
能系统的重启现象与这个远程漏洞有关。
关于MS05-039:
Microsoft Windows即插即用缓冲区溢出漏洞(MS05-039)
影响系统:
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000SP4
For Microsoft Windows 2000 Service Pack 4:
For Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2
For Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1
关于MS05-039:
Microsoft Windows即插即用缓冲区溢出漏洞(MS05-039)
影响系统:
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000SP4
9928
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
