8月16日,针对昨天爆发的“狙击波(Worm.Zotob.A)”病毒及变种“Worm.Zotob.B”“ Worm.Zotob.C”,金山毒霸已升级病毒库到最新,用户可随时登录到db.kingsoft.com下载金山毒霸2005进行免费查杀该病毒及变种。
以下为金山公司发布针对该病毒变种B的技术分析报告:
“狙击波”变种B为VC所编写、Upack加壳的蠕虫病毒,通过ms05-039漏洞传播。它会创建大量的线程向目标机器发送溢出代码,造成系统性能下降,网络堵塞。并修改用户的Hosts文件,导致用户无法正常登录大量的安全网站,这给其它病毒提供了感染用户机器的机会。
技术分析如下:
1.建立一个名为"B-O-T-Z-O-R"的互斥量,如果该互斥量存在,则表示本主机已经被病毒感染,直接退出.
2.在系统目录下释放文件csm.exe
3.在注册表Software\Microsoft\Windows\CurrentVersion\Run项和
Software\Microsoft\Windows\CurrentVersion\RunServices上添加
csm Win Updates = csm.exe
使病毒能够随计算机启动而自动运行.
4. 修改注册表SYSTEM\CurrentControlSet\Services\SharedAccess start = 4 来禁止Windows自带的防火墙运行
5.修改hosts文件,使用用户无法正常登录一些安全网站
6.通过ms05-039漏洞向其它机器发送溢出数据包来传播自身
