對利用LSASS漏洞進行傳播的“板斧”病毒的簡要概述
以下的文章主要向大家描述的是正確利用LSASS漏洞進行傳播的“板斧”病毒的實際操作流程,網絡安全軟件與服務領域的世界領導者,即趨勢科技發布板斧病毒(WORM_BOBAX.P)中度風險警報,病毒郵件以CNN報道本拉登被抓和薩達姆越獄被擊斃為噱頭,以達到吸引點擊的目的。
這種駐留內存的蠕蟲病毒可以利用Windows的LSASS漏洞進行傳播,該病毒會不斷的轉發郵件,還會修改系統的HOSTS文件,阻止用戶訪問某些網站。目前,趨勢科技已經收到了來自美國、新加坡、愛爾蘭、日本、秘魯、澳大利亞和印度等地的病毒報告。
趨勢科技全球防毒研發暨技術支持中心 TrendLabs 分析指出,板斧病毒由木馬TROJ_SMALL.AHE下載到系統中,并使用自身的SMTP(Simple Mail Transfer Protocol)引擎將木馬TROJ_SMALL.AHE作為附件發送郵件。木馬與蠕蟲的混合加大了病毒傳播的機會和危害。該病毒還會修改系統的HOSTS文件,阻止用戶訪問某些網站。
病毒作者對病毒發出的郵件利用社會工程學進行設計。用戶收到的病毒郵件的標題都是空白的,所發送的病毒附件會用“布什”、“玩笑”、“滑稽”或者“圖片”等名字來吸引用戶打開附件。
板斧病毒還會通過獲取受感染系統的用戶名并添加字符串@yahoo.com作為發件人。該病毒還會利用Windows 的LSASS漏洞進行傳播。該漏洞屬于緩沖區溢出漏洞,可以允許執行遠程代碼并使攻擊者獲取受感染系統的控制權。
趨勢科技提醒廣大計算機用戶,如果不幸遇到這種病毒,請首先重啟電腦并進入安全模式,然后通過使用趨勢科技的防病毒產品掃描你的系統辨別病毒程序。由于該病毒會修改系統的注冊表鍵,受該病毒感染的用戶需要修改或刪除這些注冊表鍵。最后,從注冊表中刪除自動運行鍵,清除HOSTS文件中的病毒鍵來最后清除此病毒。需要提醒的是,針對運行Windows XP的用戶必須禁用系統還原,從而可以對受感染的系統進行全面掃描。另外,由于板斧病毒與木馬TROJ_SMALL.AHE相關聯,所以在清除板斧的同時,也應該檢查受感染的系統是否感染了木馬TROJ_SMALL.AHE。
該病毒利用Windows 系統中的已知漏洞。建議用戶下載并安裝由微軟提供的修復補丁。在適當補丁發布之前,請克制使用該產品。
【編輯推薦】
