雖然已安渡上週末疾風病毒的第二次攻擊,19日賽門鐵克、趨勢科技、McAfee又再發佈了病毒警訊。此病毒WORM_MSBLAST.D(賽門鐵克譯名:威而加)與疾風病毒類似,不過防毒公司對其是否為疾風病毒的變種看法各異,目前已知它會針對微軟漏洞進行攻擊,不過威力更盛疾風病毒,蔓延速度更快,全球都已傳出中毒災情。
趨勢科技發佈紅色病毒警訊後表示,WORM_MSBLAST.D在上周最先從日本與新加坡發作,目前毒性已散佈至台灣、中國大陸與歐美各地,國內已有數十多家企業用戶,在全球有數百家企業用戶受此病毒感染,災情還在持續增加中。這是繼2001年娜坦病毒(Nimda)之後,第二隻連續發佈兩次紅色警訊的重大病毒!
WORM_MSBLAST.D除了採用同樣攻擊微軟系統RPC 的漏洞外,還會攻擊微軟網路伺服器5.0版本(IIS 5.0)上的WebDAV漏洞,再透過網路協定埠TCP80進入感染未經修正過的電腦。此病毒攻擊微軟系統135連接埠,並自動開啟中毒電腦707連接埠(原開啟4004連接埠)作為後門程式入侵點,再攻擊並感染其他電腦。此外,受感染的電腦會在c:\winnt\system32\wins\的目錄下發現兩隻病毒程式,並分別以DLLHOST.exe和SVCHOST.exe兩個系統檔名出現。
賽門鐵克表示,這隻病毒會強迫中毒電腦自動下載並安裝微軟修正程式,並且不斷地重新開機。另外它還會自動搜尋並移除舊病毒的BLAST.exe程式。由於電腦在未經系統需求確認的情況下載微軟修正程式,用戶會發現上網速度變慢,電腦不斷重新開機。如果企業內部上百台電腦同時下載微軟修正程式,將會造成網路流量暴增,進而導致網站癱瘓。不過,這隻病毒還有個很特殊的地方,它會設定在2004年後,自行移除。
McAfee表示,由於這隻病毒會主動偵測網路上尚未更新微軟下載程式的電腦,再進行植入病毒,更可怕的是它還可以利用IE瀏覽器直接控制中毒的電腦,因此把它視為中度病毒。
賽門鐵克補充說,分析這隻病毒後發現,其中包含了許多CHINA、中文拼音等字串,不排除是從中國大陸或其它亞洲地區所傳出。
防毒公司表示,如果用戶的電腦為Windows 2000、NT、XP、2003作業系統,要先下載微軟MS03-026修正程式,再下載微軟MS03-007修正程式,之後再利用防毒程式進行掃毒。
修復工具的網址:
http://securityresponse.symantec.com...oval.tool.html