|
发现日期:3月17日
该病毒是“高波”病毒的最新变种,带有一个超大的弱口令扫描词典,传播力很强,由于该病毒在传播时会向外发送大量的ping包,造成网络阻塞。
一、病毒评估
1.病毒中文名:高波变种
2.病毒英文名:Worm.Agobot.3.do
3.病毒别名:Backdoor.IRCbot.gen (AVP)
4.病毒大小:54,272字节
5.病毒类型:蠕虫病毒
6.病毒危险等级:★★★★
7.病毒传播途径:网络
8.病毒依赖系统:Windows NT/2000/XP
二、病毒的破坏
病毒进行IPC弱口令猜测,它带有一个超大的弱口令扫描词典,对安全意识较差的用户的机器进行弱口令猜测,成功后将把自己复制过去并执行,病毒传染速度很快,会造成网络阻塞。
三、病毒报告
UPX压缩,VC++6.0编写,蠕虫。
一旦执行,病毒将自我复制到系统文件夹.
它将创建下列注册表键值来使自己随Windows系统自启动:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
网络传播:
该病毒进行IPC弱口令猜测,体内包含一个很长的用户名、密码词典<近两千个,几乎包含所有常用的英文单词>。
鉴于此,建议用户不要设置简单密码,密码越复杂越好。
后门功能 :
该病毒拥有后门程序功能,它允许远程用户获取访问受感染系统的权限。
它会连接到一个Internet Relay Chat (IRC)频道,并成为一种bot,等待来自恶意用户发送下面的命令:
l 发送如下的系统信息:
l CPU 速度
l 内存大小
l Windows 平台, 版本号和产品 ID
l 病毒正常运行时间
l 当前登陆的用户
l 使共享网络失效
l 通过 DNS 解析 IP 和主机名
l 获取病毒状态
l 执行 .EXE 文件
l 打开文件
l 对 DNS 缓冲区进行洪水攻击
l 使 DCOM 失效/ 使共享失效
l 对 IRC 服务器断开/重新连接
l 改变 IRC 服务器
l 加入一个频道
l 离开一个频道
l 通过 IRC 发送私人信息
l 通过 HTTP 或 FTP 更新病毒
l 从 HTTP 或 FTP 服务器下载并执行一个文件
l 重启电脑
l 关闭电脑
l 使当前用户退出登陆
l 对正在运行的所有进程列表
l 对目标机器执行下面的洪水攻击:
l SYN Flood 攻击
l 端口扫描
l 病毒“SCO炸弹”后门扫描
信息盗取:
它能够盗取用户系统信息,包括:
一些软件的CDKEY,序列号,ID,如:
Command & Conquer Generals CDKey
FIFA 2003 CDKey
NFSHP2 CDKey
SOF2 CDKey
NWN CDKey
Rainbow Six III RavenShield CDKey
Battlefield 1942 Road To Rome CDKey
Battlefield 1942 CDKey
Project IGI 2 CDKey
等等
四、病毒解决方案:
1.进行升级
瑞星公司将于当天进行升级,升级后的软件版本号为16.18.20,该版本的瑞星杀毒软件可以彻底查杀此病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级,或者使用瑞星杀毒软件的“智能升级”功能。
2.使用专杀工具
鉴于该病毒的危害性比较严重,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到:http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载,并进行该病毒的清除。
3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品有多种支付途径,用户可以登陆网址:http://online.rising.com.cn/来使用在线杀毒产品,或者登陆网址: http://go.rising.com.cn/来使用下载版产品。
4.打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5.手动清除
(1) 打开注册表编辑器,删除如下键值<如果存在的话>:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"Machine Debug Manager"="%SYSDIR%\mdms.exe"
(2) 打开任务管理器查看是否存在进程名为: mdms.exe,终止它
(3) 将%SYSDIR%目录下的文件: mdms.exe删除
注:%SYSDIR%位Windows系统的安装目录,在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYSTEM,Win2K下默认为:C:\WINNT\SYSTEM32。
五、安全建议:
1.建立良好的安全习惯。例如:不要轻易打开一些来历不明的邮件及附件,不要上一些不太了解的网站,不要运行从互联网上下载的未经杀毒处理的软件等,这些必要的习惯会使您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下,操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大作用,如果删除它们,就能大大减少被攻击的可能性,增强电脑的安全。
3.经常升级安全补丁。据统计,大部分网络病毒都是通过系统安全漏洞进行传播的,象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在,会造成杀毒杀不干净的状况,所以应该定期到微软网站去下载最新的安全补丁,堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数,减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果能了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控打开(如邮件监控)、遇到问题要及时上报, 这样才能真正保障计算机的安全。
|