- 论坛徽章:
- 0
|
病毒警报:警惕,病毒猜测弱口令入侵
近日出现多种病毒及其变种,都利用了操作系统的多个漏洞,主要有
MS03-001 (RPC Locator)
MS03-026 (Dcom RPC) ,TCP ports 135 and 445
MS03-007 (WebDAV) ,TCP port 80等多个系统漏洞,
MS04-007: ASN.1 漏洞可能允许执行代码 (82802
MS04-006: Windows 因特网名称服务 (WINS) 的弱点可能会允许执行程序代码 (830352)
MS04-010: MSN Messenger 中的漏洞可能导致信息泄露 (838512)
MS03-049:Workstation 服务中存在未经检查的缓冲区
并且此类病毒通过猜测弱口令侵入网络共享,
可利用mIRC软件进行远程控制和传播。
目前发现比较多的此类病毒有几大类:w32.gaobot.???,w32.randex.???,
常见的特征如下:
通过网络共享传播
攻击随机生成的IP地址
使用缺省的用户凭证或者弱的用户名/密码对连接到远程目标系统 (猜密码)
打开后门端口
盗取用户一些游戏软件的注册码
窃取系统信息
打开预先确定的IRC servers 的IRC通道并等待执行一个攻击命令
终止大量反病毒软件的病毒防火墙和杀毒主程、升级程序,以及网络防火墙
执行一个拒绝服务攻击(DoS) ,这可能会导致cpu利用率达到100%!。
通常的加载位置是:
注册表: KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindowsNT\CurrentVersion\Windows下的"AppInit_DLLs"=
(可能还有其他位置)
目前,我们公司已经有几个用户网络上已经发现此类病毒,并对用户网络造成了很大影响(几乎瘫痪了)。
因此,强烈建议大家尽快安装微软的操作系统补丁(主要包括win2000/xp的最新service pack以及以下补丁:KB823980,KB824146,KB828035,KB828749,KB828028),并加大用户帐号密码的强度。 |
|