|
||||
11月8日,金山毒霸全球反病毒應急處理中心發布周末紅色病毒預警,經過金山毒霸反病毒工程的反復測試,證實6日上午捕獲的『掃蕩波(Worm.SaodangBo.a.94208)』病毒實為一個新型蠕蟲。這就意味著『掃蕩波』的傳播能力將超出之前的預測,影響范圍將更廣泛。目前,據初步統計該病毒已經造成大量企業用戶局域網癱瘓,數十萬用戶網絡崩潰。
金山毒霸反病毒專家李鐵軍表示,『掃蕩波』運行後遍歷局域網的計算機並發起攻擊,攻擊成功後,被攻擊的計算機會下載並執行一個下載者病毒,而下載者病毒還會下載『掃蕩波』,同時再下載一批游戲盜號木馬。被攻擊的計算機中『掃蕩波』而後再向其他計算機發起攻擊,如此向互聯網中蔓延開來。據了解,之前發現的蠕蟲病毒一般通過自身傳播,而掃蕩波則通過下載器病毒進行下載傳播,由於其已經具備了自傳播特性,因此,被金山毒霸反病毒工程師確認為新型蠕蟲。
李鐵軍指出,掃蕩波如果對局域網內電腦的攻擊失敗,這些電腦上則會出現『svchost.exe』出錯的提示,說『svchost.exe中發生未處理的win32異常』,同時網絡連接中斷。用戶要是發現自己的電腦中出現此情況,就說明您電腦所處的局域網內有機器中毒。此時,如果您的電腦並沒有中毒,但千萬不可以有僥幸心理,應該立即打上MS08-067補丁,因為該毒的攻擊不會僅僅一次,而且隨著病毒作者對其進行昇級,掃蕩波會擁有更強的攻擊力。
(圖1)
據了解,10月24日,微軟宣布『黑屏』後的第3天,緊急發布發布了MS08-067安全公告,提示用戶注意一個非常危險的漏洞,而後利用該漏洞發動攻擊的惡意程序不斷湧現;10月24日晚,金山發布紅色安全預警,通過對微軟MS08-067漏洞進行詳細的攻擊原型模擬演示,證實了黑客完全有機會利用微軟MS08-067漏洞發起遠程攻擊,微軟操作系統面臨大面積崩潰威脅;11月7日,金山再次發布預警,『掃蕩波』病毒正在利用該漏洞進行大面積攻擊;11月7日晚,金山已證實『掃蕩波』實為一個新型蠕蟲病毒,並發布周末紅色病毒預警。
據金山毒霸反病毒專家預測,掃蕩波蠕蟲將在近段時間內引起大范圍的攻擊。因此提醒廣大網民尤其是企業網管人員,采取一下措施進行查殺和預防:
1)建議用戶安裝金山毒霸(www.duba.net)並開啟毒霸文件監控,下載的病毒已經可以查殺
2)提醒用戶使用金山清理專家(http://www.duba.net/qing/)進行MS08-067(KB958644)補丁修復
3)如果打補丁過程中出現問題或還出現崩潰現象則可以使用手工解決方案:
禁用IPC$空連接,避免病毒連接到用戶系統上。方法如下:
運行regedit,找到如下子鍵|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA把RestrictAnonymous鍵值改為REG_DWORD:00000001
4)金山網鏢中已經緊急增加了檢測掃蕩波攻擊特征並攔截的功能,即使用戶不打補丁,開啟網鏢也可以攔截此類攻擊。但我們仍然強烈建議用戶修復此漏洞。