極度危險「掃蕩波」　利用微軟漏洞傳播

【賽迪網-IT技術報道】「掃蕩波」（Worm.SaodangBo.a.94208），這是一個利用MS08-067漏洞發動攻擊的蠕蟲下載器，它會將另外一些下載器和盜號木馬下載到用戶電腦中。該毒的攻擊能力非常強，只要系統未打補丁，受攻擊的電腦即使運氣好「免遭毒手」，也會出現系統進程崩潰事件，導致無法上網。

「遠程控制器1032192」（Win32.VirInstaller.Agent.1032192），這是一個遠程控制木馬。它會將用戶電腦系統與黑客遠程伺服器連接

一、「掃蕩波」（Worm.SaodangBo.a.94208） 威脅級別：★★★

微軟MS08-067漏洞公佈之後，利用該漏洞發動攻擊的惡意程序大量湧現。昨日被毒霸反病毒工程師捕獲的「掃蕩波」就是其中威脅最大的一個。

它利用網頁掛馬進行傳播，病毒進入電腦後，立即對局域網內所有電腦進行掃瞄，只要發現它們未打MS08-067漏洞的補丁，就立即將其攻陷，往裡面下載自己的最新版本和大量的其它惡意程序，主要是各類下載器和盜號木馬。

如果對網內電腦的攻擊失敗，這些電腦上則會出現svchost.exe出錯的提示，說「svchost.exe中發生未處理的win32異常」，同時網絡連接中斷。用戶要是發現自己的電腦中出現此情況，就說明您電腦所處的局域網內有機器中毒。這時候，您的電腦並沒有中毒，但千萬不可以有僥倖心理，應該立即打上MS08-067補丁，因為該毒的攻擊不會僅僅一次，而且隨著病毒作者對它進行升級，它會擁有更強的攻擊力。

該毒共含有四個子文件，分別是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。進入系統後，它首先調用vista.exe對本網段(C類)範圍內的所有計算機的445端口進行掃瞄。之後，挑選出可以連上445端口的計算機保存到一個列表文件中。然後，再調用mrosconfig.exe對列表文件中的計算機發送RPC請求，使遠程計算機中的svchost.exe中解析RPC路徑時溢出，在遠程計算機中下載一個名為ko.exe的文件並執行。

ko.exe文件是另一個下載器，它會下載更多的其它惡意程序安裝到被攻擊的計算機上。目前毒霸反病毒工程師在其下載清單中已發現機器狗木馬和針對《QQ三國》、《完美世界》等網游的盜號木馬。

二、「遠程控制器1032192」（Win32.VirInstaller.Agent.1032192） 威脅級別：★

這個遠程木馬的行為比較簡單，它釋放完文件、添加註冊表啟動項後，就會在後台啟動IE瀏覽器，連接病毒作者指定的遠程黑客伺服器。

該毒的文件sea0999.tmp會被釋放到系統臨時目錄%WINDOWS%/TEMP/下，如果能順利運行，它就會開啟端口31801，生成後門。它所連接的黑客伺服器為 udp.hj**123.com，經毒霸反病毒工程師檢查已失效。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障計算機的安全。

2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網絡使用習慣，及時升級殺毒軟體，開啟防火牆以及實時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

(