● 利用MS05-039漏洞传播的蠕虫公告！ - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Zeroto (斐菲), 信区: Security
标  题: 利用MS05-039漏洞传播的蠕虫公告！
发信站: 荔园晨风BBS站 (2005年09月10日22:34:19 星期六), 站内信件

Author: Refd0m （Refdom<123>xfocus.org）
Date:2005-08-16

    现在一个被命名为Zotob的蠕虫病毒已经在15日早些时候开始被发布，并且造
成了一些影响，但由于该蠕虫的溢出代码存在缺陷，部分有MS05-039漏洞的系统在
被攻击时会不断重新启动，无法正常运行。这个蠕虫不会感染或者影响到
Win95/98/Me/NT系统，但是有可能在这些系统上运行去感染其他的系统。该蠕虫的
很多手法冰窖内容Mytob，由于被该蠕虫影响的系统在hosts文件上对几个大型电子
商务网站作了手脚，并且受控制于IRC服务器，以及可能有update功能，因此，可
能会有攻击者进行Phishing攻击影响，盗窃相关机密信息，比如信用卡资料（目前
未证实）。

    这个蠕虫通过对MS05-039描述的漏洞进行攻击，有关该漏洞的详细信息请参考
：
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

    该蠕虫特征：
1、在系统上创建一个名为B-O-T-Z-O-R的互斥体以确保只有1个感染的蠕虫在运行

2、复制自身到以下位置：
    %System%\csm.exe
3、修改下面的注册表项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

在这两项下添加键值："csm Win Updates" = "csm.exe"，以便能够在系统启动时
执行。
4、修改下面的键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start

设置为4，禁止Win2000/XP的共享访问服务
5、通过TCP8080端口连接到IRC服务器wait.atillaekici.net
6、在TCP33333端口开启一个FTP服务
7、产生随机IP地址，并试图进行扫描感染这些地址的主机，通过利用即插即用服
务（Plug and Play ）漏洞（MS05-039），蠕虫会在目标系统上打开TCP8888端口
的后门，并进行感染
8、复制%System%\2pac.txt文件到新感染的系统上，并执行其中的FTP脚本
9、通过开启的FTP服务，下载%System%\haha.exe文件并在新目标上执行
10、增加下面内容到hosts文件，会导致无法通过域名访问或者更新病毒库；
.... Made By .... Greetz to good friend  [REMOVED]  in the next
24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

解决办法：
1、获得相应系统的最新的微软补丁，下载地址：
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
由于蠕虫修改了hosts文件，可通过其他系统获得补丁，或者直接将hosts文件中新
增加的上述内容删除。

2、删除上述注册表被增加内容，以及相应增加的文件。

3、在防火墙或者IP安全策略上BLOCK以下端口：
TCP  139/445
TCP 8080
TCP 3333

强烈建议大家安装更新补丁
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.110.13]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店