2005年8月15日，江民反病毒中心截獲一個利用微軟“即插即用服務(wù)代碼執(zhí)行漏洞”(MS05-039)的蠕蟲病毒I-Worm/Zotob。該病毒利用最新漏洞傳播，并且可以通過IRC接受黑客命令，使被感染計算機被黑客完全控制。

病毒名稱：極速波（I-Worm/Zobot）
病毒類型：蠕蟲、后門
病毒大小：22528字節(jié)
傳播方式：網(wǎng)絡(luò)
危害程度：★★★

病毒具體技術(shù)特征如下：

1. 病毒運行后，將創(chuàng)建下列文件：

%SystemDir%\botzor.exe, 22528字節(jié)



2. 在注冊表中添加下列啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe
這樣，在Windows啟動時，病毒就可以自動執(zhí)行。



3. 通過TCP端口8080連接IRC服務(wù)器，接受并執(zhí)行黑客命令?？蓪?dǎo)致被感染計算機被黑客完全控制。

4. 在TCP端口33333開啟FTP服務(wù)，提供病毒文件下載功能。利用微軟即插即用服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞(MS05-039)進(jìn)行傳播。如果漏洞利用代碼成功運行，將導(dǎo)致遠(yuǎn)程目標(biāo)計算機從當(dāng)前被感染計算機的FTP服務(wù)上下載病毒程序。如果漏洞代碼沒有成功運行，未打補丁的遠(yuǎn)程計算機可能會出現(xiàn)services.exe進(jìn)程崩潰的現(xiàn)象。



5. 修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量國外反病毒和安全廠商的網(wǎng)址。并有下列文本：

MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

針對該病毒，KV殺毒軟件在8月15日升級病毒庫后可以查殺。江民公司提醒廣大用戶，請注意及時升級病毒庫，開啟實時監(jiān)控，立刻安裝微軟的安全補丁。保護您的系統(tǒng)不受此病毒的威脅。