查看: 7097|回复: 27
收起左侧

[病毒样本] 发一个网友们期盼已久的“扫荡波”病毒样本。。。

[复制链接]
youba
发表于 2008-11-19 14:06:42 | 显示全部楼层 |阅读模式
  08年最大蠕虫病毒“扫荡波”爆发 数十万电脑网络崩溃

       11月8日,金山毒霸全球反病毒应急处理中心发布周末红色病毒预警,经过金山毒霸反病毒工程的反复测试,证实6日上午捕获的“扫荡波(Worm.SaodangBo.a.94208)”病毒实为一个新型蠕虫。这就意味着“扫荡波”的传播能力将超出之前的预测,影响范围将更广泛。目前,该病毒已经造成大量企业用户局域网瘫痪,数十万用户网络崩溃。

  金山毒霸反病毒专家李铁军表示,“扫荡波”运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载“扫荡波”,同时再下载一批游戏盗号木马。被攻击的计算机中“扫荡波”而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。
  李铁军指出,扫荡波如果对局域网内电脑的攻击失败,这些电脑上则会出现“svchost.exe”出错的提示,说“svchost.exe中发生未处理的win32异常”,同时网络连接中断。用户要是发现自己的电脑中出现此情况,就说明您电脑所处的局域网内有机器中毒。此时,如果您的电脑并没有中毒,但千万不可以有侥幸心理,应该立即打上MS08-067补丁,因为该毒的攻击不会仅仅一次,而且随着病毒作者对其进行升级,扫荡波会拥有更强的攻击力。(图1)

  据了解,10月24日,微软宣布“黑屏”后的第3天,紧急发布发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,“扫荡波”病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实“扫荡波”实为一个新型蠕虫病毒,并发布周末红色病毒预警。
  据金山毒霸反病毒专家预测,扫荡波蠕虫将在近段时间内引起大范围的攻击。因此提醒广大网民尤其是企业网管人员,采取一下措施进行查杀和预防:
  1)建议用户安装金山毒霸(http://www.duba.net/download/index.shtml)并开启毒霸文件监控,下载的病毒已经可以查杀
  2)提醒用户使用金山清理专家(http://www.duba.net/qing/)进行MS08-067(KB958644)补丁修复
  3)如果打补丁过程中出现问题或还出现崩溃现象则可以使用手工解决方案:禁用IPC$空连接,避免病毒连接到用户系统上。方法如下:运行regedit,找到如下子键|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA把RestrictAnonymous键值改为REG_DWORD:00000001
  4)金山网镖中已经紧急增加了检测扫荡波攻击特征并拦截的功能,即使用户不打补丁,开启网镖也可以拦截此类攻击。但我们仍然强烈建议用户修复此漏洞。
  微软“黑屏”最大后遗症今爆发 “扫荡波”致大量用户断网

  http://news.duba.net/contents/2008-11/07/4831.html


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
fzz8848
头像被屏蔽
发表于 2008-11-19 14:14:09 | 显示全部楼层
发个样本还要扯到金山去那么多内容

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
order110
发表于 2008-11-19 16:21:45 | 显示全部楼层
又被小红伞灭了
wangfeng66
发表于 2008-11-19 16:30:09 | 显示全部楼层
C:\扫荡波病毒.rar » RAR » new34.exe - Win32/NetTool.TCPScan.B application

EAV  672   Kil

报的名字是网络工具TCP扫描程序?
yss870
发表于 2008-11-19 16:31:34 | 显示全部楼层
咖啡报了,扫荡波病毒.RAR  ,  Spy-Agent.da
wangfeng66
发表于 2008-11-19 16:31:47 | 显示全部楼层
文件 _______________.rar 接收于 2008.11.19 09:30:31 (CET)
当前状态:    完成
结果: 28/36 (77.78%)

打印结果  反病毒引擎        版本        最后更新        扫描结果
AhnLab-V3        2008.11.18.2        2008.11.19        -
AntiVir        7.9.0.34        2008.11.19        DR/Agent.AFXU
Authentium        5.1.0.4        2008.11.18        W32/new-malware!Maximus
Avast        4.8.1281.0        2008.11.18        Win32:SdBot-gen44
AVG        8.0.0.199        2008.11.19        Worm/Spybot.AHE
BitDefender        7.2        2008.11.19        Trojan.Dropper.SQK
CAT-QuickHeal        10.00        2008.11.19        TrojanDownloader.Agent.aocz
ClamAV        0.94.1        2008.11.19        -
DrWeb        4.44.0.09170        2008.11.19        Tool.TcpScan
eSafe        7.0.17.0        2008.11.18        Suspicious File
eTrust-Vet        31.6.6216        2008.11.19        -
Ewido        4.0        2008.11.18        -
F-Prot        4.4.4.56        2008.11.18        W32/new-malware!Maximus
F-Secure        8.0.14332.0        2008.11.19        Trojan-Downloader.Win32.Agent.aocz
Fortinet        3.117.0.0        2008.11.19        W32/Agent.AOCZ!tr.dldr
GData        19        2008.11.19        Trojan.Dropper.SQK
Ikarus        T3.1.1.45.0        2008.11.19        Trojan-Dropper.Agent
K7AntiVirus        7.10.527        2008.11.18        Trojan.Win32.Malware.1
Kaspersky        7.0.0.125        2008.11.19        Trojan-Downloader.Win32.Agent.aocz
McAfee        5438        2008.11.18        Spy-Agent.da
Microsoft        1.4104        2008.11.19        -
NOD32        3623        2008.11.18        Win32/NetTool.TCPScan.B
Norman        5.80.02        2008.11.18        W32/Packed_FSG.D
Panda        9.0.0.4        2008.11.19        W32/Gimmiv.C.worm
PCTools        4.4.2.0        2008.11.18        Packed/FSG
Prevx1        V2        2008.11.19        -
Rising        21.04.21.00        2008.11.19        Trojan.Win32.Undef.smt
SecureWeb-Gateway        6.7.6        2008.11.19        Trojan.Dropper.Agent.AFXU
Sophos        4.35.0        2008.11.19        Exp/MS08067-A
Sunbelt        3.1.1801.2        2008.11.14        Trojan.Win32.Packed.gen (v)
Symantec        10        2008.11.19        Trojan Horse
TheHacker        6.3.1.1.158        2008.11.19        -
TrendMicro        8.700.0.1004        2008.11.19        TROJ_MAXIMUS.AP
VBA32        3.12.8.9        2008.11.18        Trojan-Downloader.Win32.Agent.aocz
ViRobot        2008.11.18.1474        2008.11.18        -
VirusBuster        4.5.11.0        2008.11.18        Packed/FSG
附加信息
File size: 26752 bytes
MD5...: 196da25ef91c2d4486ab2efde77068d9
SHA1..: ede987383120652cefaec32cdeead4e6727929a3
SHA256: 1412a004be8eb5919c6254abe960fb47135be873c9a5ea7317a3dff9b035e060
SHA512: 35755e936fb1d4360e10bfda20c181d82eb5dce5ddbc205a92ba3c0b487ffe9a
638dd1c08bd270bdf9d116d84558ded95c48a034777203ec58c4f28b98852e38
PEiD..: -
TrID..: File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%)
PEInfo: -
packers (Kaspersky): FSG
packers (F-Prot): FSG
packers (Authentium): FSG
packers (Avast): FSG, UPX
wangfeng66
发表于 2008-11-19 16:34:34 | 显示全部楼层
基本上都报了     结果: 28/36 (77.78%)。不过报的名字。。。。。。
NOD32        3623        2008.11.18        Win32/NetTool.TCPScan.B
DrWeb        4.44.0.09170        2008.11.19        Tool.TcpScan
Kaspersky        7.0.0.125        2008.11.19        Trojan-Downloader.Win32.Agent.aocz
VirusBuster        4.5.11.0        2008.11.18        Packed/FSG

发现NOD和DRWEB报的名字一致。
sam.to
发表于 2008-11-19 16:38:18 | 显示全部楼层
19/11/2008 16:37:45        已刪除: Trojan-Downloader.Win32.Agent.aocz        C:\Documents and Settings\kato9096\桌面\扫荡波病毒.rar/new34.exe
啊弥陀佛
发表于 2008-11-19 16:40:28 | 显示全部楼层
微点拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
sam.to
发表于 2008-11-19 16:42:57 | 显示全部楼层
正在等待分析报告
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-15 17:43 , Processed in 0.154547 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表