beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

   
首 頁  |  微點(diǎn)新聞  |  業(yè)界動態(tài)  |  安全資訊  |  安全快報  |  產(chǎn)品信息  |  網(wǎng)絡(luò)版首頁
通行證  |  客服中心  |  微點(diǎn)社區(qū)  |  微點(diǎn)郵局  |  常見問題  |  在線訂購  |  各地代理商
 

蠕蟲Net-Worm.Win32.Kido.es
來源:  2009-04-16 17:24:57

捕獲時間

2009-4-16

病毒癥狀

  該樣本是使用“C”編寫的DLL,由微點(diǎn)主動防御軟件自動捕獲,長度為“656,238 字節(jié)”,圖標(biāo)為“”,病毒擴(kuò)展名為“dll”,主要通過“下載器下載”、“網(wǎng)頁掛馬”、“局域網(wǎng)”、“可移動磁盤”等方式傳播,病毒主要目的為利用Windows Server服務(wù)RPC請求緩沖區(qū)溢出漏洞(MS08-067)進(jìn)行蠕蟲攻擊。
  用戶中毒后,會出現(xiàn)計(jì)算機(jī)及網(wǎng)絡(luò)運(yùn)行緩慢網(wǎng)絡(luò)變卡,各類軟件、Windows無故報錯,發(fā)現(xiàn)大量未知進(jìn)程,且可能局域網(wǎng)內(nèi)其他主機(jī)出現(xiàn)雷同現(xiàn)象。


感染對象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網(wǎng)頁木馬、文件捆綁、下載器下載

防范措施
已安裝使用微點(diǎn)主動防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件”,請直接選擇刪除處理(如圖1);




          圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)

    如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報警提示您發(fā)現(xiàn)"Net-Worm.Win32.Kido.es”,請直接選擇刪除(如圖2)。




          圖2   微點(diǎn)主動防御軟件升級后截獲已知病毒

對于未使用微點(diǎn)主動防御軟件的用戶,微點(diǎn)反病毒專家建議

1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫升級到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開啟windows自動更新,及時打好漏洞補(bǔ)丁。

未安裝微點(diǎn)主動防御軟件的手動解決辦法:

1、手動刪除以下文件:
 %SystemRoot%\system32\sfzhnyb.dll
%SystemRoot%\system32\kknbagzl.uwh
2、手動刪除以下注冊表:
 HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BCLDOK

變量聲明:

%SystemDriver%       系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot%        WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings%  用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp%           臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles%       系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”


病毒分析

(1)復(fù)制自身到%SystemRoot%\system32\sfzhnyb.dll 創(chuàng)建開啟啟動服務(wù) 刪除自身
(2)判斷年月日是否分別大于2008.12.1
如果有一項(xiàng)成立則到指定鏈接下載程序并運(yùn)行 鏈接地址:http://traffic****erter.biz/4vir/antis***re/loadadv.exe
否則程序等待直到條件發(fā)生
(3)枚舉可移動磁盤,建立“Autorun.ini”和病毒副本,利用自動播放進(jìn)行傳播
(4)枚舉局域網(wǎng)其他主機(jī),從網(wǎng)段起始IP開始感染局域網(wǎng)其他主機(jī),嘗試建立空連接,根據(jù)返回嘗試溢出,溢出失敗則繼續(xù)嘗試下個IP,如果成功則遠(yuǎn)程執(zhí)行下載并運(yùn)行之
下載地址 http://www.m**mind.com/do***oad/g***/database/G***P.dat.gz


  
  
病毒創(chuàng)建文件:
%SystemRoot%\system32\sfzhnyb.dll
%SystemRoot%\system32\kknbagzl.uwh

  
  
病毒創(chuàng)建注冊表:
  
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BCLDOKC
  


病毒訪問網(wǎng)絡(luò):
  
http://tra*fic*****erter.biz/4vir/a****ware/loadadv.exe
http://www.m*****d.com/download/g***p/database/G****P.dat.gz
免費(fèi)體驗(yàn)
下  載
安裝演示