8月14日，Fortinet安全响应中心截获了一个利用微软"即插即用服务程序执行漏洞"(MS05-039)传播的蠕虫病毒:W32/Zotob.A-net，紧接着又截获了它的新变种:W32/Zotob.B-net。这两个病毒的出现距离微软发布漏洞公告不到一周时间。

    该病毒攻击的系统主要为Windows 2000系统(SP4)。该病毒不能攻击Windows 98、Windows 98 SE系统，也不能直接攻击Windows XP Service Pack 2 和 Windows Server 2003系统。关于微软即插即用(Plug and Play)漏洞的详细情况请参看http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx。

    该病毒自称“Botzor2005 By DiablO”，具有2003年的冲击波、2004年震荡波的传播能力，是目前最具有大面暴发的高危病毒。Fortinet公司中国反病毒专家分析指出，该病毒会驻留内存（进程名称为“botzor.exe”），修改系统的HOSTS文件以屏蔽用户对主流防病毒网站的访问，并附加恐吓反病毒软件的信息；值得注意的是，该病毒会创建300个线程进行扫描、试探和攻击其他机器，占用大量系统和网络资源，系统和网速明显变慢；登陆“diabl0.turkcoders.net”的特殊频道，使黑客通过这个IRC连接进行远程控制。另外，该病毒不会通过发送邮件的方式进行传播。 该病毒的传播过程是：在本地创建简单的FTP服务器（TCP 33333端口），攻击成功后向对方传送一个bat脚本。溢出代码会执行该脚本，生成ftp脚本文件“2pac.txt”，调用系统程序ftp.exe下载病毒文件并运行，开始新的传播。

    Fortinet公司中国反病毒专家建议普通用户对该病毒的处理方式如下：

    1.使用进程管理器,终止"botzor.exe"；

    2.查找并删除文件“botzor.exe”，该文件位于系统目录；

    3.查找“hosts”文件，用文本编辑器打开，去除病毒添加的内容（请参考详细病毒分析报告）；

    4.打开regedit.exe，删除自启动项Run和“RunService”的"WINDOWS SYSTEM" = BOTZOR.EXE；

    5.通过控制面板--管理工具--服务，把“SharedAccess”服务的属性设置为“自动”；

    6.请参看http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx，给系统打上相应补丁。

    详细的病毒分析报告: W32/Zotob.A-net    W32/Zotob.B-net
　

      © 2005 FORTINET INC. ALL RIGHTS RESERVED