加载中…
个人资料
微博
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

反黑屏的后遗症,GIMMIV蠕虫发起零日攻击

(2008-10-27 21:29:48)
标签:

电脑

趋势科技

漏洞

exe

蠕虫

病毒

ms08-067

kb958644

零日攻击

黑屏

it

 分类: 病毒动态

反黑屏的后遗症?GIMMIV蠕虫发起零日攻击!

——请尽快打上KB958644补丁避免MS08-067漏洞

 

趋势科技安全实验室曾在不久前的文章《切勿让了你的电脑!》中提到:使用“关闭自动更新”的方法,通过拒绝下载微软“黑屏”补丁的方式来避免黑屏。这样看似可以躲避“黑屏行动”的检测。但是,这样会带来另一种危险,甚至比“黑屏”更严重!如果不及时更新系统漏洞补丁,一些木马、病毒等恶意程序就会利用系统的漏洞入侵您的计算机。

 

并且在文章中还大胆地进行了预测——“在‘黑屏行动’的浪尖上,一波‘通过系统漏洞传播’的病毒正在酝酿之中。

 

而今这种预测果不其然地变成了现实。近日,趋势科技截获一种利用微软最新的MS08-067漏洞进行传播的蠕虫病毒WORM_GIMMIV.A及其附属品TSPY_GIMMIV.A

 

该漏洞是一个RPCRemote Procedure Call)漏洞。著名的“冲击波”病毒即是利用RPC漏洞进行传播,造成巨大的损失和影响。通过MS08-067漏洞,攻击者可以在用户不知情的情况下执行其注入的恶意代码,对被攻击的计算机进行破坏。而且即使攻击失败,无法成功注入病毒也会导致RPC服务出错,产生和冲击波类似的倒计时60关机的现象。

 

据趋势科技网络安全专家介绍,该漏洞影响的操作平台涉及从Windows 2000Windows Vista的包括Windows XPWindows Server 2003Windows Server 2008的几乎所有目前微软的常见操作系统。关于此漏洞的详细信息可以参考微软的官方网页MS08-067

 

趋势科技在这里提醒广大网友,尽快打上针对MS08-067漏洞的补丁KB958644Windows XP简体中文版的用户可以至以下网址下载:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03

 

如果您未打上该补丁,一旦病毒对您的计算机进行攻击则会产生以下影响:

 

倘若攻击成功,病毒首先会修改注册表将本身注册为服务,以达到自启动的目的。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\BaseSvc

Type = 110

Start = 2

ErrorControl = 0

ImagePath = %System%\svchost.exe -k BaseSvc

DisplayName = "Windows NT Baseline"

ObjectName = "LocalSystem"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

BaseSvc\Parameters

ServiceDll = "%System%\wbem\winbase.dll"

 

 

之后病毒尝试下载:

  • http://{BLOCKED}dy.t35.com/icon.php
  • http://{BLOCKED}ra.atzend.com/icon.php
  • http://{BLOCKED}time.1gokurimu.com/icon.php

并释放在以下位置

  • %System%\wbem\basesvc.dll
  • %System%\wbem\syicon.dll
  • %System%\wbem\winbase.dll

这些文件趋势科技检测为WORM_GIMMIV.A

 

最后,病毒会扫描存在MS08-067漏洞的计算机,并通过该漏洞将以下文件任意之一注入到被攻击者:

  • http://{BLOCKED}.145.58/n1.exe
  • http://{BLOCKED}.145.58/n2.exe
  • http://{BLOCKED}.145.58/n3.exe
  • http://{BLOCKED}.145.58/n4.exe
  • http://{BLOCKED}.145.58/n5.exe
  • http://{BLOCKED}.145.58/n6.exe
  • http://{BLOCKED}.145.58/n7.exe
  • http://{BLOCKED}.145.58/n8.exe
  • http://{BLOCKED}.145.58/n9.exe

这些文件被趋势科技检测为TSPY_GIMMIV.A这个间谍软件的作用就是下载WORM_GIMMIV.A从而继续感染的过程。

 

而倘若攻击失败,改恶意攻击会导致您的计算机RPC服务出错,系统会提示您计算机将在60秒后重启。

 

也就是说,如果不装上补丁,不论攻击是否成功都会给您的计算机造成不必要的麻烦。所以趋势科技再次提醒广大还未及时打上补丁的网友,请及时更新补丁或者打开windows自动更新程序。

 

以下是WORM_GIMMIV.A的图示:

反黑屏的后遗症,GIMMIV蠕虫发起零日攻击

 

 

 Peter Zang

 

喜欢

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

Copyright © 1996 - 2022 SINA Corporation, All Rights Reserved

新浪公司 版权所有