警惕svchost.exe報錯　"掃蕩波"致網絡崩潰

【賽迪網-IT技術報道】微軟「黑屏」迷霧逐漸散去，一場規模空前的病毒風暴卻在醞釀。金山毒霸全球反病毒應急處理中心發佈緊急預警，一個利用微軟「黑屏」後出現的重大安全漏洞MS08-067進行攻擊的病毒「掃蕩波」正在大範圍「掃蕩」用戶電腦。未修復該漏洞的機器被攻擊後可能會大量出現「svchost.exe報錯」，造成用戶網絡崩潰。

金山毒霸反病毒專家李鐵軍擔心的表示，「掃蕩波」更嚴重的危害在於，局域網中一旦有一台電腦中招，全網沒有修復漏洞的電腦就都會感染病毒。如果待該病毒更新成為一個典型的蠕蟲後，其傳播量將會倍增，到時的實際危害將遠超「衝擊波」，國內用戶面臨著微軟「黑屏」帶來的最大後遺症。

金山毒霸反病毒專家李鐵軍表示，掃蕩波主要通過掛馬方式傳播。未修補微軟MS08-067漏洞補丁用戶，訪問被惡意掛馬的網站時即遭受「掃蕩波」攻擊，受到攻擊的系統，一旦攻擊失敗將彈出svchost.exe崩潰，直接導致用戶斷網。如攻擊成功，「掃蕩波」將在用戶電腦中下載一個「下載者病毒」，該下載者還會下載其他的木馬程序安裝到被攻擊的計算機上。已知會下載的木馬程序包括：機器狗木馬下載器，QQ三國、完美系列網游等遊戲盜號器，而這一切用戶並不知情。

解決方案：

(1)建議用戶開啟金山毒霸文件監控，下載的病毒已經可以查殺。

(2)提醒用戶下載MS08-067(KB958644)補丁，及時修復系統漏洞。

(3)如果打補丁出現問題或還出現攻擊推崇的崩潰現象則可以使用手工解決方案禁用IPC$空連接，避免病毒連接到用戶系統上。方法如下：

運行regedit，找到如下子鍵

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA

詳解「掃蕩波」蠕蟲攻擊流程：

1.利用MS08-067漏洞攻擊，嘗試創建IPC$空連接(圖1)：

2.通過管道方式連接設備/brower(圖2)：

3.攻擊失敗的時候會彈出svchost.exe崩潰，無論點擊「確定」還是「取消」按鈕，都會造成網絡奔潰，用戶不能上網。

未安裝VS的機器上(普通用戶)是類似於(圖3)：

4.攻擊成功，將執行一段shellcode下載病毒ko.exe運行，其中ko.exe是另一個木馬下載器(圖4)：

(