趋势科技于8 月15日发布贼头病毒(WORM_ZOTOB.A)中度风险警报,这种驻留内存的蠕虫病毒利用Windows 的Plug and Play 漏洞在网络中进行传播,还会修改系统的HOSTS 文件,阻止用户访问某些防病毒网站并添加带有警告信息的内容。一旦中招,电脑将会出现不断重启、系统不稳定等情况。
目前,趋势科技已经收到了来自美国、新西兰、中国等地的病毒报告。这个病毒是在微软发布其Windows Plug and Play 漏洞5 天后出现的,刷新了震荡波16天的记录。可见,病毒的出现距离漏洞信息公布的时间越来越短,及时打补丁的也变得越来越重要。
趋势科技全球防毒研发暨技术支持中心 TrendLabs分析指出,WORM_ZOTOB.A病毒发作的时候会在系统文件夹中产生病毒的自身拷贝文件BOTZOR.EXE,并且系统一旦被感染,病毒就会通过端口445 对网络进行扫描。如果病毒发现存在网络中存在微软的Windows Plug and Play 漏洞的机器,该病毒就会对其进行感染,所以传播速度很快,传播范围也很大。
由于受该病毒感染的机器感染的机器会对网络中的其它机器进行扫描,并对网络上存在微软MS05-039漏洞的机器进行攻击,导致网络流量激增,受感染的机器出现停止响应及不断重启的严重症状。网络管理员除了按照常规操作,将被感染机器从网络中脱离(拔掉网线),使用光盘或U 盘手工更新病毒码并执行查杀外,解决该问题最有效的方法就是使用趋势科技病毒墙NVW.NVW 可以检测网络中传送的数据包,一旦发现某台机器被感染并对网络中的机器进行攻击,NVW 就能够自动应用网络管理员设置的安全策略,做出反应,基本的安全范围可以包括:抛弃包含病毒信息的数据包,隔离染毒设备的网络访问,对发现的染毒设备执行远程杀毒操作。NVW 可以通过在网络层的数据检测和过滤,阻止蠕虫病毒的蔓延和保证网络正常运行。
该病毒的行为与病毒WORM_MYTOB家族很相似,但是不同之处在于病毒WORM_ZOTOB.A没有群发病毒邮件的功能,它的传播方式是通过利用微软的漏洞在网络中进行传播。微软的Windows Plug and Play 漏洞是在8 月9 日公布的,详情请参考微软的安全通告。
趋势科技提醒广大计算机用户,如果不幸遇到这种病毒,请使用趋势科技的防病毒产品扫描你的系统辨别病毒程序。由于该病毒会修改系统的注册表键,受该病毒感染的用户需要修改或删除这些注册表键。最后,从注册表中删除自动运行键,清除HOSTS 文件中的病毒键来最后清除此病毒。需要提醒的是,针对运行Windows XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。
该病毒利用Windows 系统中的已知漏洞。建议用户下载并安装由微软提供的修复补丁。在适当补丁发布之前,请克制使用该产品。
已经使用趋势科技产品的企业用户,可以利用下列产品功能做好对该病毒的防范工作:使用趋势科技企业安全控管中心――TMCM:可以使用一个步骤完成对此病毒的预防:接受趋势科技病毒爆发预代码,并应用到整个企业网络当中。趋势科技的病毒爆发预代码,可以调动整个网络中所有趋势科技产品做出必要的防毒和杀毒操作。
使用趋势科技网络病毒墙――NVW :
执行对网络客户端的系统漏洞扫描,并设置安全策略为:
A )一旦发现存在MS05-039漏洞的设备,既阻挡其与互联网建立连接;
B )强制没有安装OfficeScan防病毒客户端,安装防病毒客户端;以及安装了防毒客户端但是病毒码没有更新到编号2.779 以上的客户端,强制更新病毒代码;
C )一旦发现网络中出现Worm_Zotob.A病毒发出的数据包,则自动向该客户端推送专杀工具,以便第一时间消灭病毒源。
使用OfficeScan防毒墙网络版:
A )启用" 病毒爆发预防" 策略,阻断所有客户端打开"33333" 端口,阻断Worm_Zotob.A病毒的传播途径
B )启用" 病毒爆发预防" 策略,阻止系统读写下列与Worm_Zotob.A病毒相关联的文件:botzor.exe / 2pac.txt / haha.exe
其他策略:
如果已经使用了防病毒网关产品,例如趋势科技IWSS,或者URL 过滤产品,则可以阻止内网用户与下列IRC 服务器建立联系:diabl0.turkcoders.net
紧急解救方法:
请趋势科技用户将病毒码升级到2.779 ,TSC 升级至636.
(责任编辑:郭旭)
