病毒监测周报  第七十期(2004.5.1- 2004.5.7)


一、病毒疫情周报表

计算机病毒疫情监测周报

序号

病毒名称

病毒特点

1

“震荡波”病毒

Worm_Sasser

 病毒运行后,在%Windows%目录下生成名为avserve.exe,同时在%System%目录下生成其它病毒文件;病毒创建注册表项,使得自身能够在系统启动时自动运行;病毒主动进行扫描,对网络中没有安装微软SSL安全漏洞的机器进行攻击,受攻击的系统就会生成名为cmd.ftp的ftp脚本程序,通过TCP端口5554下载蠕虫病毒。同时由于病毒扫描A 类或B类子网地址,目标端口是445,会对网络性能有一定影响,尤其局域网可能造成瘫痪。并在9996端口创建远程Shell。该病毒在传播和破坏形式上与"冲击波"病毒相类似。
2

“网络天空”新变种

(Worm_Netsky.D)

该病毒通过邮件传播,使用UPX压缩。运行后,在%Windows%目录下生成自身的拷贝,名称为Winlogon.exe。(其中,%Windows% 是Windows的默认文件夹,通常是 C:\Windows 或 C:\WINNT),病毒使用Word的图标,并在共享文件夹中生成自身拷贝。病毒创建注册表项,使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的,
3


Worm_Mydoom.F

该病毒通过邮件传播,病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。当病毒运行时,会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能,会在TCP端口1080上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口,给系统安全带来隐患,删除.mdb、.doc、.xls、.sav、.jpg、.avi、.bmp为扩展名的文件,并在每个月的17到22号之间时,发起对网站www.riaa.com 和www.microsoft.com 进行DOS攻击。病毒具有破坏性。

4


“贝革热”病毒变种

Worm_Bbeagle.J

病毒通过电子邮件进行传播,病毒运行后,在%System%文件夹下生成自身的拷贝,名称为irun4.exe。病毒还在%system%文件夹下生成irun4.exeopen,该文件是一个加过密的.zip文件包,其内容为病毒代码,密码是随机生成的。病毒添加注册表项,使得自身能够在系统启动时自动运行。


二、本周病毒动态分析
   
    通过对以上监测结果分析,本周出现一种新型蠕虫病毒"震荡波"(Worm_Sasser),该病毒利用了Windows LSASS的一个已知漏洞(MS04-011)这个缓冲溢出漏洞,后果是使远程攻击者完全控制受感染系统。该病毒一出现迅速在国内爆发,江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户纷纷受到该病毒的侵扰,给计算机用户带来很大的损失。并且该病毒又很快出现新的变种Worm_Sasser.B和Worm_Sasser.C,这两个变种在传播机理上与"震荡波"相同。因此,提醒广大用户,下载补丁程序,修补漏洞,升级杀毒软件,启动"实时监控"功能,抵御病毒入侵。

     "网络天空"病毒变种Worm_Netsky.D以及其他变种(排名还是第二位,五一期间 "网络天空"及其变种的传播数量也比较大,病毒主要通过电子邮件传播,请用户留意收到的电子邮件,不要随便运行附件。

     蠕虫病毒Worm_Mydoom.F这周排名第三位,还是有不少计算机用户受到该病毒的感染,给用户造成不必要的损失,再次提醒计算机用户不要轻易收取不明来历的邮件,特别是附件为.zip的邮件。

        "贝革热"病毒的新变种Worm_Bbeagle.J这周排名还是不变,计算机用户也要注意防范!

     从这周病毒的发作情况来看,和上一周的情况基本一样,唯一不同的是出现了一个新病毒。由于处于假期,很多企业没有使用电脑和网络,致使有一些单位和部门没有及时地下载补丁程序修补漏洞,也没有及时对杀毒软件进行升级。所以有可能在长假后第一个工作日,出现"震荡波"病毒大面积爆发的情况,病毒的大面积爆发也会对网络流量带来影响,我们建议各部门在长假结束开始其他工作前,先对系统进行漏洞修补,升级杀毒软件,配置防火墙,做好相应工作,抵御病毒侵害,保证网络的安全畅通。

三、建议可采用以下病毒防范措施

1、对于感染"震荡波"(Worm_Sasser)病毒的计算机用户提醒用户及时升级杀毒软件并给系统打安全漏洞补定,或可以登陆网站:
http://www.antivirus-china.org.cn/content/Worm_Sasser.htm查阅

2、对于感染"网络天空"的新变种Worm_Netsky.D病毒的计算机用户提醒
用户及时升级杀毒软件,或可以登陆网站:
http://www.antivirus-china.org.cn/content/Worm_Netsky.D.htm查阅

3、对于感染Worm_Mydoom.F计算机用户提醒用户及时升级杀毒软件,
或可以登陆网站:   
http://www.antivirus-china.org.cn/content/Worm_Mydoom.F.htm查阅

4、对于感染"贝革热"病毒变种(Worm_Bbeagle.J)的计算机用户提醒用户
及时升级杀毒软件,或可以登陆网站:
 http://www.antivirus-china.org.cn/content//Worm_Bbeagle.J.htm查阅

5、不要轻易打开来历不明的邮件,尤其是邮件的附件。 

6、闭不必要的服务和端口。 

7、将浏览器的安全级别设为中级以上。 

8、不要随便登录不明网站。 

9、Office软件的安全级别设定为中级以上。 

10、使用光盘、软盘进行数据交换前,先对其进行病毒检查。 

11、将系统配置改为从硬盘引导,不要用软盘引导系统,防止感染引导型病毒。 

12、做好系统和重要数据的备份,以便能够在遭受病毒侵害后及时恢复。 

13、发现网络和系统异常,及时与国家计算机病毒应急处理中心或防病毒厂家联系。

 

 



国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址:Http://www.antivirus-China.org.cn
电  话:022-66211488/66211489/66211490 转 8017
传  真:022-66211487 
电子邮件:sos@antivirus-China.org.cn
         security@tj.cnuninet.net