国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　在我的印象中，每一個傳播嚴(yán)重的都和一個系統(tǒng)漏洞有關(guān)：蠕蟲王，數(shù)小時傳遍全球;沖擊波、震蕩波讓普通網(wǎng)民認(rèn)知到蠕蟲的威力。而這個MS08-067漏洞，在補丁發(fā)布數(shù)周之后，還沒有發(fā)現(xiàn)蠕蟲泛濫，也可能是眾多可替代微軟update補丁的修復(fù)越來越普及的原因。

　　事實上，在這個漏洞發(fā)布之后不久，在制造盜號的圈子里，各種不同版本的掃描器、批量抓雞工具在迅速泛濫。因此證明，沒有完美的漏洞修復(fù)方案，上總是很容易就找到大量不打補丁的計算機。

　　上周末，把木馬下載器、漏洞掃描工具、蠕蟲集成在一起的終于泛濫。在這之前，一直有不少網(wǎng)民報告系統(tǒng)崩潰不能上網(wǎng)的現(xiàn)象，但一直沒有捕獲病毒樣本。原來這一類病毒后，會嘗試刪除自身，抓到的樣本只是木馬下載器，而蠕蟲在得手后就自殺了，這在某種程度上也削弱了蠕蟲的傳播范圍。

　　以下是毒霸分析員對Worm.SaodangBo.a.94208的技術(shù)分析

　　MS08-067遠(yuǎn)程下載者(掃蕩波)分析報告

　　1. 釋放病毒體

　　病毒運行后釋放以下文件：

　　其中aaa.bat控制整個病毒的運行流程。

　　2. 掃描網(wǎng)內(nèi)計算機

　　首先調(diào)用vista.exe對本網(wǎng)段(C類)范圍內(nèi)的所有計算機的445端口進行掃描。之后，挑選出可以連上445端口的計算機保存到一個列表文件中。

　　3. 攻擊在線的計算機(有漏洞的會出現(xiàn)現(xiàn)象或中毒)

　　然后，病毒調(diào)用mrosconfig.exe對列表文件中的計算機發(fā)送RPC請求，使遠(yuǎn)程計算機中的svchost.exe中解析RPC路徑時溢出，在遠(yuǎn)程計算機中下載并執(zhí)行http://xxx.xxx.com/down/ko.exe。

　　mrosconfig.exe是一個實現(xiàn)下載者功能的遠(yuǎn)程溢出利用工具, 對應(yīng)的命令行為：

　　如：

　　具體的步驟如下：

　　(1)使用空用戶、空密碼連接上遠(yuǎn)程計算機上的IPC$共享。

　　(2)向連上的計算機發(fā)送遠(yuǎn)程路徑".a....NN"。如果遠(yuǎn)程計算機上未修復(fù)MS08-067漏洞，那么svchost.exe調(diào)用NetpwPathCanonicalize函數(shù)解析此路徑時會溢出，從而執(zhí)行遠(yuǎn)程路徑后的指令。

　　(3)溢出指令下載附在指令后的url對應(yīng)的文件到遠(yuǎn)程計算機上，并運行此文件。

　　(4)下載的文件是一個木馬下載者，該下載者還會下載其他木馬程序安裝到被攻擊計算機上。已知會下載的木馬程序包括：機器狗木馬下載器，QQ三國、完美系列網(wǎng)游等游戲盜號器。

　　如果攻擊失敗，則遠(yuǎn)程計算機會出現(xiàn)“SVCHOST.exe”出錯提示，只有這個現(xiàn)象是用戶可見的。

　　如果用戶反映這個問題，則可以認(rèn)為其所在的內(nèi)有機器中毒，但自身沒有中，打上補丁就可以避免。

　　4. 自刪除病毒體

　　刪除釋放的：mrosconfig.exe、vista.exe、qqq.sys、aaa.bat病毒文件。