該病毒利用了8月9日微軟發布的即插即用中的漏洞(MS05-039),在微軟發布安全公告後短短的5天之內即出現該蠕蟲,表明病毒作者利用漏洞的能力越來越強。用戶電腦感染了該病毒之後,在某些情況下會出現系統頻繁重啟的現象。同時,該病毒會在用戶電腦上開設後門,方便黑客對其進行遠程控制。一、病毒評估1.病毒英文名:Worm.Zotob2.病毒類型:蠕蟲病毒3.病毒危險等級:★★★☆4.病毒傳播途徑:網絡5.病毒依賴系統:WIN 2000/XP/2003二、病毒破壞 1.造成系統頻繁重啟當病毒攻擊失敗的時候,會造成系統頻繁重啟。2、給系統開設後門3、修改系統文件,使用戶的殺毒軟件不能升級。三、技術分析一旦執行,病毒將執行以下操作:1. 病毒啟動後,會將自己復制到系統目錄中,病毒文件名為“botzor.exe”。2、在注冊表中添加下列啟動項:HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/Run"WINDOWS SYSTEM" = botzor.exeHKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/RunServices"WINDOWS SYSTEM" = botzor.exe;3、在感染的時候,病毒利用IP掃描的方式在網絡中尋找具有漏洞的系統,發現後就會對系統進行攻擊,連接系統的445端口,並植入系統中一個遠程SHELL,此遠程SHELL釋放一個文件 2PAC.TXT,此文件中包含有一段FTP命令腳本,功能是利用FTP從遠程將病毒文件下載到本地。4、如果攻擊失敗,則造成系統重啟。5、修改系統的host文件,5自學網,添加如下內容:Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!127.0.0.1 securityresponse.symantec.com127.0.0.1 symantec.com127.0.0.1 sophos.com127.0.0.1 mcafee.com127.0.0.1 liveupdate.symantecliveupdate.com127.0.0.1 viruslist.com127.0.0.1 viruslist.com127.0.0.1 f-secure.com127.0.0.1 kaspersky.com127.0.0.1 kaspersky-labs.com127.0.0.1 www.kaspersky.com127.0.0.1 avp.com127.0.0.1 networkassociates.com127.0.0.1 ca.com127.0.0.1 mast.mcafee.com127.0.0.1 my-etrust.com127.0.0.1 download.mcafee.com127.0.0.1 dispatch.mcafee.com127.0.0.1 secure.nai.com127.0.0.1 nai.com127.0.0.1 update.symantec.com127.0.0.1 updates.symantec.com127.0.0.1 us.mcafee.com127.0.0.1 liveupdate.symantec.com127.0.0.1 customer.symantec.com127.0.0.1 rads.mcafee.com127.0.0.1 trendmicro.com127.0.0.1 pandasoftware.com127.0.0.1 www.trendmicro.com127.0.0.1 www.microsoft.com127.0.0.1 microsoft.com127.0.0.1 virustotal.com127.0.0.1 www.amazon.co.uk127.0.0.1 www.amazon.fr127.0.0.1 paypal.com127.0.0.1 moneybookers.com127.0.0.1 www.ebay.com127.0.0.1 ebay.com造成用戶不能訪問上述網站,使相關殺毒軟件不能升級。四、病毒解決方案:1. 進行升級瑞星公司已經進行升級,升級後的軟件版本號為17.40.02,該版本的瑞星殺毒軟件可以徹底查殺Zotob蠕蟲病毒,瑞星殺毒軟件標准版和網絡版的用戶可以直接登陸瑞星網站()下載升級包進行升級,或者使用瑞星殺毒軟件的智能升級功能。2. 使用在線殺毒和下載版用戶還可以使用瑞星公司的在線殺毒與下載版產品清除該病毒,這兩款產品是通過手機付費使用的,用戶可以登陸使用在線殺毒產品,或者登陸使用下載版產品。3. 打電話求救如果遇到關於該病毒的其它問題,用戶可以隨時撥打瑞星反病毒急救電話:010-82678800來尋求反病毒專家的幫助!五、安全建議:1. 建立良好的安全習慣。例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經殺毒處理的軟件等,這些必要的習慣會使您的計算機更安全。2. 關閉或刪除系統中不需要的服務。默認情況下,許多操作系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。 3. 經常升級安全補丁。據統計,有80%的網絡病毒是通過系統安全漏洞進行傳播的,象蠕蟲王、沖擊波、震蕩波等,所以我們應該定期到微軟網站去下載最新的安全補丁,以防范未然。4. 使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統的,5自學網,因此使用復雜的密碼,將會大大提高計算機的安全系數。5. 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。6. 了解一些病毒知識。這樣就可以及時發現新病毒並采取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些注冊表知識,就可以定期看一看注冊表的自啟動項是否有可疑鍵值;如果了解一些內存知識,就可以經常看看內存中是否有可疑程序。
7. 最好安裝專業的殺毒軟件進行全面監控。在病毒日益增多的今天,使用殺毒軟件進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟件之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、內存監控等、遇到問題要上報, 這樣才能真正保障計算機的安全。8. 用戶還應該安裝個人防火牆軟件進行防黑。由於網絡的發展,用戶電腦面臨的黑客攻擊問題也越來越嚴重,許多網絡病毒都采用了黑客的方法來攻擊用戶電腦,因此,用戶還應該安裝個人防火牆軟件,將安全級別設為中、高,這樣才能有效地防止網絡上的黑客攻擊。
