“丽台”病毒伪装显卡驱动再攻击RPC漏洞 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → “丽台”病毒伪装显卡驱动再攻击RPC漏洞

“丽台”病毒伪装显卡驱动再攻击RPC漏洞 时间：2004/10/8 15:01:00来源：本站整理作者：蓝点我要评论(0): > 3月9日，江民快速反病毒小组率先截获一名为Backdoor/Phatbot.e病毒，该病毒伪装成国内知名显卡NVIDIA(丽台)的驱动程序，通过RPC DCOM漏洞，以及RPC Locator和IRC聊天软件进行传播。病毒发作后，启动大量线程，对远程服务器发动多种DoS攻击，耗尽CPU资源。病毒还会尝试破解局域网内其他计算机的密码，一旦破解成功，就自动感染。同时，该病毒还搜集用户机器上的游戏CDKey、Email地址和注册表信息，通过IRC向外发送。目前，江民已接到用户感染该病毒的报告，部分局域网已因病毒攻击而陷入瘫痪。

　　江民反病毒专家介绍，“丽台”病毒运行时，会自动结束将近600种杀毒软件和调试工具的进程，基本包括了所有国外杀软和常用工具。搜索本地局域网的机器，通过RPC DCOM漏洞(135号端口)和RPC Locator(445号端口)进行传播，有可能造成"RPC错误，1分钟倒计时重启"现象。该病毒自带IRC机器人模块，可以自动登陆IRC聊天服务器，与其他Backdoor/Phatbot机器人通过IRC进行通信。并可以利用其内嵌的FTP模块进行自我升级和其他文件传输。

　　病毒还会将本地磁盘C:, D:, E:设置为共享，并用自带的密码字典(约包含100种常用密码)对局域网内的其他计算机进行暴力破解，一旦成功则感染该计算机。

　　更厉害的是,病毒运行后，会根据IRC上的得到指令，开启大量监听和发包线程，向远程计算机发动SYN, UDP, ICMP, HTTP等多种DoS攻击，使CPU资源耗尽。

　　此外，病毒还会窃取数十种游戏的CDKey以及用户机器上的email地址，根据后门指令收集用户的注册表信息，通过IRC发送出去。

　　江民公司提醒用户，针对该病毒，江民科技已于第一时间提出解决方案，并已上报公安部主管部门，请用户及时升级KV系列杀毒软件到3月9日病毒库，开启七套病毒实时监控，即可全面查杀所有Backdoor/Phatbot变种，保护您的系统不受该病毒的侵害。