帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 新聞 /
新蠕蟲危險程度升高 可搖控受駭電腦
使用者不做任何事情也會受到感染或散佈病毒

【CTIMES/SmartAuto 歐敏銓 報導】   2004年05月04日 星期二

瀏覽人次:【8956】

「WORM_SASSER」 殺手病毒危害等級升高,入侵防禦公司Network Assocoates今(4)日宣佈McAfee AVERT (防毒緊急回應小組) 發佈W32/Sasser.worm.b 蠕蟲為中度風險。趨勢科技更將危險程度定為高度紅色病毒警戒。

該公司指出,這隻自我執行的蠕蟲會攻擊Microsoft Windows的弱點 [MS04-11 弱點 (CAN-2003-0533)]。該蠕蟲透過avserve2.exe擋案形式散佈,但與最近出現的蠕蟲不同的是,該蠕蟲並不透過電子郵件散佈,即使使用者不做任何事情也會受到感染或散佈病毒 (藉由攻擊微軟作業系統漏洞)。該蠕蟲會搖控受駭的電腦自動下載並執行危險的程式碼。由於在全球擴散的趨勢逐漸升高,因此評定為中度風險。

該病毒的中毒徵狀是會將自己寫入到Windows目錄下的avserve2.exe,並建立下列機碼以在電腦開機時載入自己:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run "avserve2.exe" = C:\WINDOWS\avserve2.exe

蠕蟲會監聽TCP 1068往後的埠,掃描其上的隨機IP位址,它也會在TCP 埠5554上扮演FTP伺服器,並會在TCP埠9996建立一個遠端殼層。此外會在C:磁碟機下建立一個win2.log的檔案,裡面記錄受駭主機的IP位址。並會將自己寫入到Windows目錄下,名稱使用 #_up.exe,如:

c:\WINDOWS\system32\11583_up.exe

c:\WINDOWS\system32\16913_up.exe

c:\WINDOWS\system32\29739_up.exe

此外可能會導致LSASS.EXE毀壞,而系統將自行重新啟動。

防毒產品的使用者應該立刻更新系統的DAT檔,以防禦可能的攻擊。若想手動移除此一病毒,請依下列方式進行:

1. 重新開機到安全模式 (開機時按F8鍵),然後由WINDOWS目錄下刪除AVSERVE2.EXE (一般為c:\windows\或c:\winnt\)。

2. 刪除以下登錄檔的”avserve2”機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. 重新啟動電腦至正常模式。

至於受到感染的系統,必須安裝Microsoft發佈的系統更新後才能完全關閉此弱點:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

關鍵字: VIRUS  網際安全系統 
相關新聞
McAfee與Sony Ericsson合作提供手機安全解決方案
病毒作者兔死狐悲 發新病毒嘲笑震蕩波作者
微軟反毒懸賞計畫首度奏效 18歲嫌犯遭起訴
挪威ISP的IRC伺服器成為攻擊指令中心
8月十大病毒都是老面孔
comments powered by Disqus
相關討論
  相關文章
» C-ITS: LTE-V2X與ETSI ITS-G5比較
» 汽車網路需要深度數據包檢測技術
» 如何導入邊緣服務而不改變核心網路
» Bluetooth Meshing 的新可能
» 切入大數據戰場


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.3.137.181.69
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw