金山反病毒监测中心继12月16日截获的“大师(Worm.Dasher.A)”病毒及变种“Worm.Dasher.B”之后,在12月19日又率先截获了最新变种“Worm.Dasher.C”。经过技术分析,金山反病毒工程师发现,“大师”变种很有可能是国人制造,病毒制造者试图通过编写此病毒,达到出名的目的,因此国内用户面临巨大的潜在威胁。
“大师”变种C采用反弹方式连接到IP 222.240.219.143(湖南长沙),在感染的系统中打开后门,让病毒作者完全控制系统。利用FTP下载可执行程序,使感染的系统再受其它病毒的侵扰。据金山反病毒工程师介绍:该病毒可关闭个人网络防火墙,部分国内安全厂商的个人防火墙未能幸免;病毒反弹连接的IP为国内地址;所使用的漏洞攻击工具更是直指中文系统。根据以上三点分析,该病毒为国人制造的可能性非常之大。
金山反病毒工程师介绍,“大师”变种C在以前两个变种的基础上加入了更多功能,以增强自己的传播和感染率。“大师”变种C会结束常用的个人防火墙软件,使自己能顺利访问网络。还会修改注册表键值降低系统的安全性。
病毒会释放更多的漏洞攻击工具来攻击其它系统,以便传播自身。病毒在感染系统后会同时在系统目录中释放多个病毒程序文件,其中:
Sqlscan.exe的可执行程序用于远程系统扫描,并将扫描结果保存到一个名为Result.txt的文件中,供其它病毒程序使用;
SqlExp.exe是利用MS04-045 Windows因特网名称服务(WINS)漏洞的攻击TCP端口42的病毒程序;
SqlExp1.exe是一个利用MS05-039即插即用中服务漏洞的攻击TCP端口445的病毒程序;
SqlExp2.exe是一个利用MS05-051MSDTC和COM+漏洞的攻击TCP端口1025的病毒程序;
SqlExp3.exe是一个利用MSSQLServer漏洞的攻击TCP端口1433的病毒程序;最后攻击日志会保存到名为Log.txt的文件中。
目前“大师”病毒在短短三天时间内接连出现三个变种,已在国外出现了较大的感染情况。由于“大师”变种C很有可能为国人所做,因此国内用户便成为了病毒的潜在攻击对象,金山反病毒工程师提醒用户应该及时下载微软公布的最新补丁,避免病毒利用漏洞袭击自己的电脑。
金山毒霸2006具有抢先式防毒技术,能有效拒绝病毒运行,在病毒关闭防火墙时,制止病毒的破坏。另外,主动漏洞修复功能可扫描操作系统及各种应用软件的漏洞,当新的安全漏洞出现时,金山毒霸会下载漏洞信息和补丁,经扫描程序检查后自动帮助用户修复。
关注此文的读者还看过: