网络安全 频道

新型蠕虫“扫荡波”横扫大量企业局域网

  【IT168 专稿】11月8日,金山毒霸全球反病毒应急处理中心发布周末红色病毒预警,经过金山毒霸反病毒工程的反复测试,证实6日上午捕获的“扫荡波(Worm.SaodangBo.a.94208)”病毒实为一个新型蠕虫。这就意味着“扫荡波”的传播能力将超出之前的预测,影响范围将更广泛。目前,据初步统计该病毒已经造成大量企业用户局域网瘫痪,数十万用户网络崩溃。

  金山毒霸反病毒专家李铁军表示,“扫荡波”运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载“扫荡波”,同时再下载一批游戏盗号木马。被攻击的计算机中“扫荡波”而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。

  李铁军指出,扫荡波如果对局域网内电脑的攻击失败,这些电脑上则会出现“svchost.exe”出错的提示,说“svchost.exe中发生未处理的win32异常”,同时网络连接中断。用户要是发现自己的电脑中出现此情况,就说明您电脑所处的局域网内有机器中毒。此时,如果您的电脑并没有中毒,但千万不可以有侥幸心理,应该立即打上MS08-067补丁,因为该毒的攻击不会仅仅一次,而且随着病毒作者对其进行升级,扫荡波会拥有更强的攻击力。(图1)

  

  据了解,10月24日,微软宣布“黑屏”后的第3天,紧急发布发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,“扫荡波”病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实“扫荡波”实为一个新型蠕虫病毒,并发布周末红色病毒预警。

  据金山毒霸反病毒专家预测,扫荡波蠕虫将在近段时间内引起大范围的攻击。因此提醒广大网民尤其是企业网管人员,采取一下措施进行查杀和预防:

  1) 建议用户并开启杀毒软件文件监控

  2)提醒用户进行MS08-067(KB958644)补丁修复

  3) 如果打补丁过程中出现问题或还出现崩溃现象则可以使用手工解决方案:

  禁用IPC$空连接,避免病毒连接到用户系统上。方法如下:

  运行regedit,找到如下子键|

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

  把RestrictAnonymous键值改为REG_DWORD:00000001

0
相关文章