近来,攻击微软漏洞的蠕虫日渐增多。前有臭名昭著的“冲击波”,现有致使无数系统瘫痪的“震荡波”。今天,冠群金辰又截获了Win32.Kibuv.A,该蠕虫同样攻击微软的安全漏洞。
病毒素描:
Win32.Kibuv.A是一个长度为11776字节的蠕虫病毒,蠕虫在第一次运行时会创建一个互斥体以确保系统中只有一个病毒进程。
Win32.Kibuv.A利用 RPC/DCOM缓冲器传播(微软MS03-026漏洞)和攻击Local Security Authority System远程缓冲器(微软MS04-011)。病毒建立一个进程监听420端口,一旦与远程受感染机器连接,蠕虫将下载并执行本身的KillBush.exe病毒文件。病毒在其25个列表组中浏览易受蠕虫攻击的系统的ip地址,然后试图连接到进行缓冲攻击的445和135端口上。
病毒危害:
病毒利用420端口建立一个后门,下载并且执行病毒文件危及系统安全,通过创造FTP服务器(端口9604)危及主机系统安全。
病毒检测/清除:
KILL安全胄甲23.65.19可以清除此病毒
冠群金辰专家提示:
由于目前攻击微软安全漏洞的蠕虫频繁出现,因此敬请用户随时关注我们的病毒播报,及时打补丁并升级相关安全软件的版本,以确保系统的安全。同时对于企业用户来说,面对日益增多的蠕虫和病毒,在网络边界处设置过滤网关,能够有效的将蠕虫和病毒阻挡在企业系统之外,从而确保系统的安全稳定运行。
