ZOL首页 > 新闻中心 > 厂商动态 > “扫荡波”及其他常见病毒防御策略

“扫荡波”及其他常见病毒防御策略

CBSi中国·ZOL 【无】 2009年01月06日 14:22 评论

最近一段时间，为了避免下载微软的黑屏补丁，许多网友关闭了Windows系统自动更新，从而造成黑客们利用系统漏洞作恶的机会。对于目前网络病毒泛滥的情况，艾泰科技工程师特编写此方案，介绍在路由器上如何设置安全策略来预防“扫荡波”及其他网络病毒，帮助网友建设井然有序的网络。

关注“扫荡波”

近期，360安全中心发现，网上忽然冒出来“狼牙全自动抓鸡器”等多款恶意工具，并在迅速流传之中。据了解，这是黑客利用微软最新RPC漏洞MS08-067实施的“扫荡波”蠕虫攻击，如用户尚未给系统打好KB958644补丁，一旦被黑客扫描发现，瞬间便受到蠕虫病毒侵袭，成为被黑客远程控制的帮凶，主动去攻击其他用户的电脑。也就是说，局域网中一旦有一台电脑中招，全网没有修复漏洞的电脑就都会感染病毒，其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。

　　中毒症状：

　　扫荡波对内网主机的整个攻击过程中，只有当扫荡波攻击失败时，被攻击主机出现的提示是用户可见的。扫荡波如果对局域网内电脑的攻击失败，这些电脑上则会出现“svchost.exe”出错的提示，说“svchost.exe中发生未处理的win32异常”，同时网络连接中断。用户要是发现自己的电脑中出现此情况，就说明您电脑所处的局域网内有机器中毒。此时，如果您的电脑并没有中毒，但千万不可以有侥幸心理，应该立即打上MS08-067补丁，因为该毒的攻击不会仅仅一次，而且随着病毒作者对其进行升级，扫荡波会拥有更强的攻击力。

　　攻击原理：

1、释放病毒体：

病毒运行后释放以下文件：aaa.bat、mrosconfig.exe、vista.exe、qqq.sys，其中aaa.bat控制整个病毒的运行流程。

2、扫描网内计算机：

首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后，挑选出可以连上445端口的计算机保存到一个列表文件中。

3、攻击在线的计算机（有漏洞的会出现现象或中毒）：

然后，病毒调用mrosconfig.exe对列表文件中的计算机发送RPC请求，使远程计算机中的svchost.exe中解析RPC路径时溢出，在远程计算机中下载并执行http://xxx.xxx.com/down/ko.exe。
　　
具体的步骤如下：

1) 使用空用户、空密码连接上远程计算机上的IPC\$共享。

2) 向连上的计算机发送远程路径".\\a\..\..\NN"。如果远程计算机上未修复ms08-067漏洞，那么svchost.exe调用NetpwPathCanonicalize函数解析此路径时会溢出，从而执行远程路径后的指令。

3) 溢出指令下载附在指令后的url对应的文件到远程计算机上，并运行此文件。下载的文件是一个木马下载者，该下载者还会下载其他的木马程序安装到被攻击的计算机上。已知会下载的木马程序包括：机器狗木马下载器、QQ三国、完美系列网游等游戏盗号器。

　　如果攻击失败，则远程计算机会出现‘SVCHOST.exe’出错的提示。如果用户反映这个问题，则可以认为其所在的局域网内有机器中毒，但还未波及自身电脑，打上补丁就可以避免。

　　解决方案：