fortinet中国安全响应中心
MS05-039漏洞(微软Windows即插即用缓冲区溢出漏洞,也称PnP漏洞)是微软8月9日才公布的一个严重级别的安全漏洞。它的严重性在于,攻击者可以通过向其发送一个精心构造的数据包,造成被攻击的系统程序出现意外,转而执行攻击者发来的任意指令,这样,整个系统就可能处于攻击者的控制之下,系统随时都可能遭到破坏,或者信息泄密。鉴于此漏洞的严重性,微软同时提供了该漏洞的补丁程序。
然而,就在很多用户还没来得及打补丁的情况下,第一个利用该漏洞传播的蠕虫病毒“W32/Zotob.A-net”已经于8月14日出现,在接下来的三天之内,连续出现了多个利用MS05-039漏洞传播的病毒。据Fortinet安全响应中心统计,截至8月18日,Fortinet至少截获了十三个利用该漏洞传播的病毒及其变种,这些病毒大都留有后门,被感染机器可能成为被黑客任意控制的僵尸。和以往的同类病毒相比,从漏洞被公布到相关病毒出现的时间间隔这次是最短的,只用了不到一周的时间,而同期出现的病毒种类这次也是最多的。目前网上已经发现了使用该漏洞的源码程序,可以预见,在今后一定时期内,会出现越来越多的相关病毒。
本表给出了利用该漏洞传播的一些病毒的基本特征,以便用户对照检查:
|
Fortinet命名 |
其它常用别名 |
病毒所在目录 |
病毒文件名 |
|
W32/Zotob.A-net |
W32.Zotob.A |
系统目录 |
botzor.exe |
|
W32/Zotob.B-net |
W32.Zotob.B |
系统目录 |
csm.exe |
|
W32/Zotob.C-mm |
W32.Zotob.C@mm |
系统目录 |
per.exe |
|
W32/DrudgeBot.A-net |
W32/Sdbot-ACI |
“系统目录\usrnt” |
windrg32.exe |
|
W32/DrudgeBot.B-net |
W32.Zotob.D |
“系统目录\wbev” |
windrg32.exe |
|
W32/DrudgeBot.C-net |
W32/Dogbot-B |
“系统目录\wbev” |
windrg32.exe |
|
W32/Bozori.A-net |
W32.Zotob.E |
系统目录 |
wintbp.exe |
|
W32/Bozori.B-net |
W32.Zotob.F |
系统目录 |
wintbpx.exe |
|
W32/Bozori.C-net |
WORM_RBOT.CBQ |
系统目录 |
wintbp.exe |
|
W32/Bobax.AF-mm |
W32/Surila.M@bd |
Windows目录 |
msdefr.exe,
nb32ext2.exe |
|
W32/IRCBot.ES-bdr |
W32.Esbot.A |
系统目录 |
mousebm.exe |
|
W32/IRCBot.EX-bdr |
W32.Esbot.B |
系统目录 |
wpx.exe |
|
W32/IRCBot.EW-bdr |
W32/Sdbot.LUW |
系统目录 |
mousesync.exe |
为了防止这些病毒进一步传播,请广大Windows用户立即打上MS05-039漏洞补丁。Fortinet病毒研究员建议经常上网的用户,最好能打开系统的自动更新功能,并为系统设置一个安全的密码,这样可以最大可能的减少此类病毒的威胁。另外,Fortinet公司已经提供了用于FortiGate系列防火墙的针对MS05-039漏洞的IPS特征,可拦截所有企图通过该漏洞入侵的已知和未知的病毒,在这点上,它比单一的病毒防火墙更为有效,加上FortiGate防火墙同时也具有专门的病毒检测功能,两方面结合可以更有效的保护用户的安全。最后提醒广大用户,无论使用哪种防毒产品,都应及时升级它的特征库,这样才能有效的防范新病毒的入侵。
Fortinet中国安全响应中心
