“重要警报”病毒八面来袭 与冲击波同根

    利用RPC漏洞传播的重要警报病毒（Worm.Alerter）于11月11日下午被金山反病毒中心截获，据反病毒专家介绍，“重要警报”病毒与去年爆发的冲击波病毒非常类似，也是利用相同的RPC系统漏洞进行传播。由于该病毒存在网络攻击行为，对局域网的影响很大，会严重阻塞企业网络，用户在最近一个星期要提高病毒防范措施，特别是企业网络管理员要及时杀毒，打上安全补丁。

    金山反病毒中心目前已接到最多企业用户求助，“重要文件”病毒主要对win2000以上系统造成危害，该病毒除了影响网络畅通之外，还会使中毒计算机完全暴露在远程黑客控制之下。据金山反病毒中心分析：此病毒会给没有打上补丁的系统埋下后门程序，对企业隐私信息与个人银行账号、网游密码等个人信息安全造成严重威胁。另外，它还会使受感染机器变成“傀儡”，成为黑客的代理服务器，发送各种欺骗信息给用户。

    据金山反病毒中心累计的病毒数据分析，网络蠕虫病毒占了2004年9、10月份以来病毒总数的28%以上，而木马病毒占了57%，其它混合型病毒占了15%。值得注意的是，混合型病毒给用户制造出了大麻烦，数量在迅速增加。此重要文件病毒属于混合型病毒之例，集邮件蠕虫病毒、黑客控制于一身，对计算机算机信息安全构成了极大的隐患！

    目前，金山毒霸2004年11月11日病毒升级库已可完全查杀此病毒。需要防范的是：建议用户通过金山毒霸漏洞扫描或者Windows Update为系统打上补丁，并修改系统管理员密码，企业级用户通过升级RPC漏洞来防范攻击，漏洞相关细节及最新补丁参考 http://www.microsoft.com/china/technet/security/bulletin/MS04-012.mspx。

    病毒分析：

    1、在 %system% 目录释放以下病毒文件

    Alerter.exe (Worm.Alerter.23552)
    Alerter16.exe (Worm.Alerter.23552)
    SCardSer.exe (Win32.Hack.Resard.4096)
    comwsock.dll (Win32.Troj.Tlb.b.4096)
    dmsock.dll (Win32.Troj.Tlb.a.7168)
    sptres.dll (Worm.Alerter.7168)
    spc.exe (Win32.Hack.Resard.14446)
    inetcfg.h (文本文件，内容为“%system%\spc.exe”)
    mst.tlb

    2、通过添加服务项实现自启动

    显示名称：Net Login Helper
    可执行文件的路径：%system%\SCardSer.exe

    3、通过RPC漏洞攻击没有打补丁的系统，漏洞相关细节及最新补丁参考

http://www.microsoft.com/china/technet/security/bulletin/MS04-012.mspx

    4、尝试通过IPC空密码连接其它主机默认的ADMIN$共享，一旦连接成功，将病毒文件上传到对方系统上并执行。

    5、释放其它后门程序。

    6、防范：建议用户通过金山毒霸漏洞扫描或者Windows Update为系统打上补丁，并修改管理员密码，使之更为强壮。