最近重要病毒通報-有點耐心看完

[babayu]

1. 本人昨天已知 WORM_SOBIG.F 此病毒穿透各大站mail SERVER 昨天至今本人已收到 10餘封此病毒信 本人mail 有三道防護 我使用的是付費的mail200 有sophos把關 8/20下午兩點多mail自動收信後 我立即查知這是六代的變種 8/19 新的病毒碼 我防毒軟體 KAV 自動反應WORM_SOBIG.F 我還有一支防垃圾信的McAfee SpamKiller也將此類信放入擊殺信箱中 到今天早上信箱陸續湧入看寄信的mailserver各大站已污染 mail2000今天早上的信已會通知是病毒信件 第一時間沒防住 各大站幾乎全死 也請各位 注意此病毒 baba_yu

2. 疾風病毒至今變種多次 後有新聞 自己看 賽門鐵克殺疾風病毒的工具 也有改版 請下載最新版 好像是1.0.0.4 後有連結 版本自行注意

3. 還有新病毒 在後面 IIS 5.0 用戶注意 後面自己看

baba_yu 8/21 10:12

WORM_SOBIG.F 中度 病毒警戒
一. 說明 :
別名: W32.Sobig.F@mm [Symantec] , Sobig.F [F-Secure], W32/Sobig.f@MM [McAfee], WORM SOBIG.F [Trend]
類型: Worm
感染長度: about 72,000 bytes
受影響的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影響的系統: Linux, Macintosh, OS/2, UNIX, Windows 3.x

由於客戶所提報的件數有增加的趨勢，趨勢科技將 WORM_SOBIG.F 列為中度病毒警戒，賽門鐵克將此威脅由等級 2 提昇至等級 3。
W32.Sobig.F@mm 是一種具有網路意識、會寄發大量郵件的病蟲，會將自身寄至它在檔案中找到且具有下列副檔名的所有電子郵件位址：
.dbx
.eml
.hlp
.htm
.html
.mht
.wab


關於今天早上 聯合報說疾風病毒變種 D 癱瘓全球 140 萬台電腦消息

應該是全部 (含疾風所有變種) 感染 140 萬台, 不是變種 D 癱瘓全球 140 萬台, 報紙寫錯

http://www.hackerwatch.org/checkup/graph.asp

Over the entire course of the outbreak we have observed the total number of infected machines to be in excess of 1,436,535.



Blaster infects 30,000 PCs per hour By Robert Jaques [18-08-2003]
http://www.vnunet.com/News/1143069



疾風病毒 A 趨勢科技統計到 16,852 件, 疾風病毒變種 D 統計到 652 件

趨勢科技病毒全球感染統計 :
W32.Blaster.A.Worm
http://www.trendmicro.com/vinfo/viru...ct=S&Period=1m

W32.Blaster.B.Worm
http://www.trendmicro.com/vinfo/viru...ct=S&Period=1m

W32.Blaster.C.Worm
http://www.trendmicro.com/vinfo/viru...ct=S&Period=1m

W32.Blaster.D.Worm
http://www.trendmicro.com/vinfo/viru...ct=S&Period=1m


資料來源 :金帥全球資訊網
http://www.ggreat.com.tw/

08/19/03 網路又出現新的漏洞駭蟲 Welchi_Worm【疾風殺手】，利用二個已知的系統漏洞 DCOM/RPC Buffer Overflow 漏洞與 IIS 5.0 的 WebDAV 漏洞，分別使用 TCP Port 135 與 80 入侵電腦，受影響的系統包含 Windows 2000/XP 系統。
中毒的電腦會自動再入侵其它有漏洞的機器，也會自動下傳 Dllhost.exe 到 Windows 的 System32\Wins 目錄內執行。
此駭蟲入侵後還會關掉 Msblast_Worm ，自行到微軟更新網站下傳 DCOM/RPC Buffer Overflow 漏洞修補檔並進行修補。
微軟已提供修補漏洞程式，網址如下：
DCOM/RPC Buffer Overflow 漏洞修補檔 MS03-026
http://www.microsoft.com/technet/tre...n/MS03-026.asp
IIS 5.0 的 WebDAV 漏洞修補檔 MS03-007
http://www.microsoft.com/technet/tre...n/MS03-007.asp
金帥 ZLOCK 【先知防禦技術 --- RPC 防漏 】可以在還沒修補漏洞前提醒使用者修補漏洞並可以關掉 DCOM/RPC 服務，以免連上網路後駭蟲又入


疾風病毒W32.Blaster.Worm.D 變種來襲

此病毒各家稱呼不一樣
W32.Welchia.Worm [Symantec],
WORM_MSBLAST.D [Trend],
W32/Nachi.worm [McAfee],
W32/Welchia.worm10240 [AhnLab],
Lovsan.D [F-Secure]

http://www.trendmicro.com/vinfo/zh-t...WORM_MSBLAST.D

http://securityresponse.symantec.com...chia.worm.html

http://us.mcafee.com/virusInfo/defau...virus_k=100559

軟產品安全性警告

等級：Critical

Nachi, Blaster-D, Welchia病毒通知



影響產品：

Windows 2000 and XP, Internet Information Services 5.0



版本：

如上所列



說明：

微軟安全反應中心已經發布一個新發現的蠕蟲病毒Nachi, Blaster-D, Welchia正在散佈當中，請更新您防毒軟體的病毒碼以避免遭受病毒攻擊，建議系統管理員應檢視該安全公告並測試及更新防毒軟體的病毒碼。



造成的影響：

Network Propagation, Patch Installation



詳細技術資訊：

與先前的MSBLAST蠕蟲變種相似,此病毒同樣利用MS03-026的漏洞，指示系統使用TFTP從感染的系統中下載病毒的複製檔案。



此病毒除了利用RPC的弱點，並且會利用微軟之前所公佈MS03-007的弱點，透過Port 80進行對IIS 5.0攻擊。



有關於病毒的詳細資訊，請參考其他參與微軟病毒資訊聯盟(Microsoft Virus Information Alliance, VIA)相關防毒軟體公司的網站：



Network Associates:

http://vil.nai.com/vil/content/v_100559.htm



Trend Micro:

http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.D



Symantec

http://securityresponse.symantec.com...chia.worm.html



For more information on Microsoft’s Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp



請聯絡您的防毒軟體廠商，取得進一步的協助。



預防方法：

如果您是使用Windows XP 或是 Windows Server 2003的用戶，請開啟"網際網路防火牆"，或是在您的防火牆關閉下列的Port：

Incoming TCP ports 80, 135, 139, 445 and 593;

UDP ports 135, 137, 38.



關於如何開啟"網際網路防火牆"的詳細步驟請參考：http://support.microsoft.com/?id=283673



此病毒利用了兩個微軟先前所發布的弱點進行感染行為，請務必確認您的電腦已經安裝MS03-007以及MS03-026兩個修正程式：

MS03-026 http://www.microsoft.com/taiwan/secu...s/MS03-026.asp

MS03-007 http://www.microsoft.com/technet/sec...n/MS03-007.asp



位了協助使用者檢查是否系統已經安裝MS03-026的修正程式，微軟提供一個檢查工具，詳細的資訊請參考：826369



修復步驟：

如果您的系統已經遭受病毒感染，請聯絡您的防毒軟體廠商或是連絡微軟技術部以取得進一步的支援



相關技術文件(Related KB Articles):

http://support.microsoft.com/default...b;en-us;826234



需要安裝的修正程式:

Microsoft Security Bulletin MS03-026 http://www.microsoft.com/technet/sec...n/MS03-026.asp

Microsoft Security Bulletin MS03-007 http://www.microsoft.com/technet/sec...n/MS03-007.asp



微軟病毒網站：

http://www.microsoft.com/technet/sec...erts/nachi.asp



微軟產品資訊安全相關網站連結：

請至以下網站以獲得更多有關微軟產品最新資訊安全訊息：

英文： http://www.microsoft.com/technet/security

中文： http://www.microsoft.com/taiwan/security

Blaster效應延燒，賽門鐵克發佈 4 級「威而加」病蟲　

（2003年8月19日） 布雷斯特的警報才見歇息，賽門鐵克安全機制應變中心又發現一隻名為威而加(W32.Welchia.Worm)的 4 級病蟲（又名WORM_MSBLAST.D）。和布雷斯特一樣，這隻威而加又是一隻利用漏洞傳播感染的病蟲，賽門鐵克提醒用戶立即更新至 8/18的病毒定義檔。

威而加(W32.Welchia.Worm)利用的漏洞有兩個：

l 微軟XP作業系統中DCOM RPC（遠端程序呼叫）界面中緩衝區溢位漏洞(之前布雷斯 病蟲所利用的漏洞)。

l 微軟網路伺服器5.0版本(IIS 5.0)上的WebDAV漏洞(一組HTTP協定的擴充功能，使Web管理員可以編輯、發表和管理WWW上的資源)，再透過網路協定埠TCP80進入。比較特別的是，威而加病蟲會針對之前有被布雷斯特感染過的電腦，進行病蟲檔案Msblast.exe的移除，並且會自動連上微軟的Windows Update網站，進行下載DCOM RPC修補程式的動作，同時將系統重新開機，造成系統的不穩定。

病蟲影響

l 刪除檔案：msblaster 的執行檔 （msblast.exe. ）

l 造成系統不穩： Windows 2000用戶的RPC功能被更改

l 更改安全性設定：病蟲會於中毒機器中植入TFTP伺服器

傳播途徑：

l 利用通訊埠TCP 135 及 TCP80


威而加病蟲的修復工具的網址

http://securityresponse.symantec.com...oval.tool.html
　

如需更多內容可以參考賽門鐵克全球網站：

http://securityresponse.symantec.com...chia.worm.html


假好心「疾風」變種病毒，解毒不成反釀鉅禍，再度引爆嚴重災情

趨勢科技今(19日)發佈高度病毒警訊


網路安全領導廠商趨勢科技今日(19日)針對「疾風病毒」WORM_MSBLAST.A又一新變種病毒WORM_MSBLAST.D發出第二次最高的紅色病毒警訊，這隻變種病毒不但挾帶相同攻擊手法，還會強迫電腦下載微軟修正程式，令許多企業在數百台電腦同時間下載修正程式的結果，造成網路流量暴增，導致網站擁塞癱瘓！根據趨勢科技目前掌握到的最新消息，此變種病毒上周最先從日本與新加坡發作，目前毒性已散佈至台灣、大陸與歐美各地，據估在國內已有數十多家企業用戶，在全球有數百家企業用戶受此病毒感染，災情還在持續增加中。由於「疾風病毒」多種病毒的交相感染，已經令全球企業IT人員疲於奔命，這是繼2001年娜坦病毒(Nimda)之後，第二支連續發佈兩次紅色警訊的重大病毒！趨勢科技已充分掌握此變種病毒，並呼籲所有用戶除立即下載安裝微軟修正程式外，需盡速更新趨勢病毒碼614，即可偵測此病毒。

WORM_MSBLAST.D為「疾風病毒」的最新變種，除了採用同樣攻擊微軟系統RPC 的漏洞外，還會攻擊WebDAV的新漏洞感染未經修正過的電腦，此病毒攻擊微軟系統135連接埠，並自動開啟中毒電腦707連接埠(原開啟4004連接埠)作為後門程式入侵點，再攻擊並感染其他電腦。所以用戶不僅要針對原WORM_MSBLAST.A病毒下載微軟MS03-026修正程式外，再針對此變種WORM_MSBLAST.D下載微軟MS03-007修正程式，才能有效遏止此病毒的交相感染。此外，受感染的電腦會在c:\winnt\system32\wins\的目錄下發現兩隻病毒程式，並分別以DLLHOST.exe和SVCHOST.exe兩個系統檔名出現。

趨勢科技指出，這隻病毒有兩個很特別的病毒行徑：一、會強迫中毒電腦自動下載並安裝微軟修正程式，並無預警的重新開機。二、會自動搜尋並移除舊病毒的BLAST.exe程式。由此病毒在自動下載微軟程式與移除舊病毒程式的這兩種病毒行徑看來，表面上似乎是為清除反制「疾風病毒」而來，但由於其強迫電腦在未經系統需求確認的情況下載微軟修正程式，對個人而言，造成上網速度變慢，電腦不斷重新開機；對企業用戶而言，由於企業內部上百台電腦同時下載微軟修正程式的結果，造成網路流量暴增擁塞，進而導致網站癱瘓，影響企業運作甚鉅！

根據趨勢科技分析指出，在歷經上周在各界大力宣導「疾風病毒」的危險性與告知用戶盡速下載微軟修正程式並更新病毒碼後，然而此變種病毒還是對用戶造成鉅大殺傷力的原因如下：

一、 許多個人或企業用戶尚未更新微軟修正程式
二、 許多已中毒未察覺的電腦用戶，再度與其他變種病毒交相感染

趨勢科技呼籲所有電腦用戶務必要遵循以下方式做好防護措施，以防患未然：

1. 請即刻下載並安裝以下兩支微軟修正程式。
Microsoft Bulletin MS03-007(針對WORM_MSBLAST.D)
http://www.microsoft.com/technet/sec...n/MS03-007.asp
Microsoft Security Bulletin MS03-026(針對WORM_MSBLAST.A.B.C)
http://www.microsoft.com/taiwan/secu...s/MS03-026.asp
2. 企業用戶請立即自動更新病毒碼及TSC(Trend Micro System Cleaner)病毒清除工具，以徹底清除潛藏在電腦內的病毒惡意程式。
3. 個人用戶可利用以下兩項工具：
A.上趨勢網站使用病毒清除程式 http://www.trendmicro.com/ftp/products/tsc/tsc.zip
B.即刻使用趨勢科技線上掃毒HouseCall，以徹底移除病毒程式。
網友可至以下網站使用線上掃毒服務：HiNet、Seednet、APOL、台灣固網與PC home on line。趨勢科技線上掃毒:http://www.trendmicro.com/tw/product...e/overview.htm

相關網站：
趨勢科技: http://www.trendmicro.com.tw/

四級威而加病蟲攻勢猛烈 Blaster及威而加已造成全球630,000電腦感染

威而加病蟲以迅雷不及掩耳之勢侵入企業內部網路 迅速繁殖 災情直線攀升

　

四級病蟲威而加(W32.Welchia.Worm)以迅雷不及掩耳之姿在虛擬世界迅速擴散，發揮攻擊威力。賽門鐵克持續接獲大型企業的通報案例，表示其內部網路因威而加病蟲所引起的ICMP龐大網路流量，導致內部網路運作的嚴重干擾。部分企業員工甚至無法存取公司內部重要的網路資源。截至目前為止，賽門鐵克安全機制應變中心共接獲全球305起感染通報，其中有42起來自企業，263起來自個人。由於威而加病蟲利用的系統漏洞之一與Blaster病蟲（W32.Blaster.Worm）相同，因此目前的感染統計數據是將Blaster及威而加病蟲兩者合計所得的結果，現在全球感染數據已高達630,000起。



賽門鐵克安全機制應變中心資深總監文森．韋佛(Vincent Weafer)表示，「先不論其攻擊意圖為何，威而加病蟲（W32.Welchia.Worm）事實上是一隻相當陰險狡猾的病蟲，它會利用大量的網路流量來癱瘓網路系統，導致企業內部重要的伺服器無法運作，使企業遭受拒絕服務攻擊(Denial of Service, DoS)。」



威而加病蟲的目標是鎖定之前遭受Blaster病蟲感染的電腦。一旦進入電腦系統，威而加病蟲會移除Blaster病蟲的感染檔案MsBlast.exe，並試圖連上微軟的Windows Update網站，下載並安裝DCOM RPC修補程式，接著命令系統重新開機。威而加病蟲利用送出ICMP echo或是PING封包的方式，確認網路上哪些電腦是開機並連線著，這樣將導致嚴重的巨量網路流量產生，癱瘓網路。ICMP是一種TCP/IP通訊協定。



韋佛更進一步指出，「雖然大部分的大型企業均會加強其網路邊界方面的防禦措施，然而，內部網路遭到感染的機率仍然非常大。再者，對於大型、跨多區域的企業組織來說，要花上幾個星期甚至幾個月的時間，才有辦法完整地部署安全修補機制。經過此次Blaster病蟲及威而加病蟲的攻擊事件，可以證明企業在網路的各個層級部署完整的縱深防禦機制的重要性，包括對行動工作者遠端存取的政策制訂等等。



威而加病蟲除了利用是微軟作業系統Windows 2000及Window XP中的DCOM RPC（遠端程序呼叫）界面中緩衝區溢位漏洞，透過TCP 135通訊埠進行攻擊外，亦會攻擊沒有修補WebDav漏洞的微軟網路伺服器5.0(IIS5.0)，透過TCP 80通訊埠進行攻擊。



賽門鐵克DeepSight 早期預警管理系統目前回報有些異常狀態，似乎有某些IP位置特別針對著TCP 80通訊埠及微軟作業系統WebDav緩衝區溢位漏洞。由於Blaster病蟲及威而加病蟲均針對TCP 135通訊埠進行攻擊，因此此通訊埠仍然是主要被攻擊的通訊埠。



賽門鐵克強烈建議IT管理員應儘速修補微軟Windows作業系統中的DCOM RPC緩衝區溢位漏洞，以及微軟網路伺服器5.0（IIS 5.0）上的WebDAV漏洞。



威而加病蟲修復工具的網址：

http://securityresponse.symantec.com...oval.tool.html

　

[piggy]

謝謝告知.

又有病毒
真是麻煩的說

好家在我還沒中獎
趕快裝patch去修補一下
感謝大大提供新消息

[psac]

中招了！！我中了傳說中是世界十大病毒之一。
在記憶體中找到以下可疑程式：
找到可疑工作行程：RUNDL132.EXE
找到可疑開機程式：LOAD (C:\WINDOWS\rundl132.exe)
找到未知IE插件：C:\WINDOWS\system32\cpap.dll
在硬碟中找到以下可疑程式：
C:\WINDOWS\LOGO1_.EXE

我用超級兔子7.5檢測的時候發現了以上幾個可以程式,如何把它徹底解決??

我上網搜索過logo1_.exe和rundl132.exe還有vdll.dll這幾個關鍵詞，曾有篇報道說
屬於世界十強病毒之一，聽見名字我就暈了，我的技術是不可能解決的了。



A:


下載Dr.Web CureIT!
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
執行殺毒，先會自動掃瞄記憶體工作行程和啟動項，自動掃瞄結束後，手工選中所有的硬碟分區再次殺毒.最後把殺毒報告發上來

Worm.Viking

這幾天一直看到不少求援的帖子，從帖子內容看一直都只認為是個QQ尾巴，通過QQ自動發送如下消息：
看看啊. 我最近的照片~ 才掃瞄到QQ象冊上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG時注意到rundl132.exe這個文件，此外，某個殺軟會不斷提示logo_1.exe這個東西。

拿到樣本後才知道不是這麼簡單，各大殺軟都對這個病毒做了應急處理。參考各殺軟廠商的分析結果做如下簡介：
病毒被啟動後，釋放以下文件：
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll

新增以下啟動項：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\WINNT\rundl132.exe"

感染所有分區下大小27KB-10MB的可執行文件（但不感染系統資料夾和programe files資料夾下的文件），並在被感染的資料夾中產生_desktop.ini。資料夾裡如果發現這個東西的話，恭喜恭喜，估計十有八九已遭遇不幸了。感染後，可能會造成某些網友說的「EXE文件圖示變花」。

通過不安全的共享網路傳播，網路可用時，枚舉內網所有共享主機，並嘗試用弱口令連接\\IPC$、\admin$等共享目錄，連接成功後進行網路感染。

結束一些國內的反病毒軟件工作行程，如毒霸，瑞星，木馬客星等。

vdll.dll注入Explorer或者Iexplore工作行程，當外網可用時，下載其他木馬程式(比如那個WINLOGON系列的變態木馬)。

小空在這裡提醒大家，對這個病毒防範勝於查殺。部分殺軟對感染該病毒的EXE文件採取的方法是直接刪除，這可不是件好事。因此，小空建議你，及時升級你的殺軟，並打開實時監控；安裝一款防火牆；關閉不必要的網路共享；通過線上更新等給系統打好修正檔；給管理員帳戶加上足夠強壯的密碼；對於來歷不名的文件不要隨意執行。

把拿到的樣本看了下，抓圖如下：rundl132.exe為病毒文件，thunder是原迅雷的主程式VThunder為感染後文件。winhex打開，抓圖如下，可以看出，頭寄生。offset刪除至00069E6後，VThunder即可還原為thunder了。














補充

給圖片加上說明更好。
金山
http://vi.db.kingsoft.com/index.shtm...tion=viewgraph
Symantec
http://www.symantec.com/avcenter/ven....looked.h.html
http://securityresponse.symantec.com....looked.i.html

Q:

我找了老半天都找不到你給的那個軟件,你給的連接我也用不了,我的是校園網.
看不懂丫,我也看過這貼子,是跟我的狀況很相似,但我還是找不到解決方法.




A:

LOGO1_.EXE 這個病毒會感染EXE格式的文件,在正常Windows模式下很難清除

建議去 安全軟件下載區 下載江民或毒霸的DOS版,在純DOS下殺毒