加载中…
个人资料
Hades_Expolit
Hades_Expolit
  • 博客等级:
  • 博客积分:0
  • 博客访问:94,554
  • 关注人气:18
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

警惕svchost.exe报错 "扫荡波"致网络崩溃

(2008-11-22 17:43:11)
标签:

it

分类: 毒笼
【赛迪网-IT技术报道】微软“黑屏”迷雾逐渐散去,一场规模空前的病毒风暴却在酝酿。金山毒霸全球反病毒应急处理中心发布紧急预警,一个利用微软“黑屏”后出现的重大安全漏洞MS08-067进行攻击的病毒“扫荡波”正在大范围“扫荡”用户电脑。未修复该漏洞的机器被攻击后可能会大量出现“svchost.exe报错”,造成用户网络崩溃。

金山毒霸反病毒专家李铁军担心的表示,“扫荡波”更严重的危害在于,局域网中一旦有一台电脑中招,全网没有修复漏洞的电脑就都会感染病毒。如果待该病毒更新成为一个典型的蠕虫后,其传播量将会倍增,到时的实际危害将远超“冲击波”,国内用户面临着微软“黑屏”带来的最大后遗症。

金山毒霸反病毒专家李铁军表示,扫荡波主要通过挂马方式传播。未修补微软MS08-067漏洞补丁用户,访问被恶意挂马的网站时即遭受“扫荡波”攻击,受到攻击的系统,一旦攻击失败将弹出svchost.exe崩溃,直接导致用户断网。如攻击成功,“扫荡波”将在用户电脑中下载一个“下载者病毒”,该下载者还会下载其他的木马程序安装到被攻击的计算机上。已知会下载的木马程序包括:机器狗木马下载器,QQ三国、完美系列网游等游戏盗号器,而这一切用户并不知情。

解决方案:

(1)建议用户开启金山毒霸文件监控,下载的病毒已经可以查杀。

(2)提醒用户下载MS08-067(KB958644)补丁,及时修复系统漏洞。

(3)如果打补丁出现问题或还出现攻击推崇的崩溃现象则可以使用手工解决方案禁用IPC$空连接,避免病毒连接到用户系统上。方法如下:

运行regedit,找到如下子键

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

 


把RestrictAnonymous键值改为REG_DWORD:00000001

 

详解“扫荡波”蠕虫攻击流程:

1.利用MS08-067漏洞攻击,尝试创建IPC$空连接(图1):

 

警惕svchost.exe报错 "扫荡波"致网络崩溃

 

 

2.通过管道方式连接设备\brower(图2):

 

警惕svchost.exe报错 "扫荡波"致网络崩溃

 

 

3.攻击失败的时候会弹出svchost.exe崩溃,无论点击“确定”还是“取消”按钮,都会造成网络奔溃,用户不能上网。

未安装VS的机器上(普通用户)是类似于(图3):

 

警惕svchost.exe报错 "扫荡波"致网络崩溃

 

 

4.攻击成功,将执行一段shellcode下载病毒ko.exe运行,其中ko.exe是另一个木马下载器(图4):

 

警惕svchost.exe报错 "扫荡波"致网络崩溃

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有