这个蠕虫只想治愈

内容

• 这只蠕虫只想治愈
• 顶级威胁W32 / Nachi.B蠕虫
• 十大电子邮件病毒
• 前5个漏洞
• 安全提示
• Windows安全更新
• 行话克星
• 安全观察故事提要

这只蠕虫只想治愈

我们首先目睹了MyDoom的爆炸和随后的拒绝服务攻击，该攻击使Santa Cruz Operation（sco.com）网站瘫痪了两个星期。 然后出现了MyDoom.B，它添加了Microsoft.com作为DoS攻击的目标。 当MyDoom.A复仇地起飞时，MyDoom.B就像一部“ B”电影一样，是愚蠢的。 根据MessageLabs的首席技术官Mark Sunner的说法，MyDoom.B的代码中存在错误，导致该漏洞仅在70％的SCO攻击中成功，而在攻击Microsoft时为0％。 他还说，“比起抓住它，阅读MyDoom.B的机会更大。”

在过去的一周中，我们看到MyDoom的尾巴上冒着大量的病毒.A成功地收购了数十万台计算机。 第一个出现在现场的是Doomjuice.A（也称为MyDoom.C）。 Doomjuice.A不是另一种电子邮件病毒，但它利用了MyDoom.A在受感染计算机上打开的后门。 Doomjuice会将其下载到MyDoom感染的计算机上，然后像MyDoom.B一样，安装并尝试对Microsoft.com进行DoS攻击。 根据Microsoft的说法，尽管NetCraft记录到Microsoft网站在某一时刻无法访问，但该攻击并未在9日和10日对他们造成不利影响。

防病毒专家认为，Doomjuice是MyDoom的同一作者的作品，因为它也将原始MyDoom源的副本删除了受害者计算机上。 根据F-secure的新闻稿，这可能是作者掩盖其足迹的一种方式。 它还将工作源代码文件发布给其他病毒编写者以使用或修改。 因此，像Microsoft Windows和Office本身一样，MyDoom.A和MyDoom.B现在已成为其他病毒传播的平台。 在上周内，我们看到了W32 / Doomjuice.A，W32 / Doomjuice.B，W32 / Vesser.worm.A，W32 / Vesser.worm.B，exploit-MyDoom的出现-exploit-MyDoom-Proxy-Mitglieter的特洛伊木马变种，W32 / Deadhat.A和W32 / Deadhat.B，都进入MyDoom的后门。 Vesser.worm / DeadHat.B，也使用SoulSeek P2P文件共享网络。

2月12日，发现W32 / Nachi.B.worm。 像其前身W32 / Nachi.A.worm（也称为Welchia）一样，Nachi.B通过利用RPC / DCOM和WebDAV漏洞进行传播。 虽然Nachi.B仍然是病毒/蠕虫，但它尝试删除MyDoom并关闭漏洞。 到2月13日，星期五，Nachi.B已在几个供应商的威胁列表（趋势，迈克菲）中排名第二。 由于它不使用电子邮件，因此不会出现在MessageLabs的十大电子邮件病毒列表中。 防止Nachi.B感染与Nachi.A相同，请应用所有当前的Windows安全修补程序以关闭漏洞。 有关更多信息，请参见我们的最高威胁。

2月13日，星期五，我们看到了另一个MyDoom鱼叉W32 / DoomHunt.A。 该病毒使用MyDoom.A后门，并关闭进程并删除与其目标关联的注册表项。 与Nachi.B（在后台安静地运行）不同，DoomHunt.A会弹出一个对话框，提示“ MyDoom清除蠕虫（DDOS为RIAA）”。 它以明显的Worm.exe形式安装在Windows System文件夹中，并添加一个值为“ Delete Me” =“ worm.exe”的注册表项。 删除与任何蠕虫一样，停止worm.exe进程，使用防病毒软件进行扫描，删除Worm.exe文件和所有关联的文件，并删除注册表项。 当然，请确保使用最新的安全修补程序更新计算机。

虽然无法确切知道，但估计范围从50, 000到高达400, 000台受感染的MyDoom.A机器。 Doomjuice只能通过访问MyDoom的后门进行传播，因此未受感染的用户不会受到威胁，并且随着感染的清除，可用机器的领域将减少。 但是，唯一的危险是，尽管MyDoom.A计划于2月12日停止对其DoS攻击，但Doomjuice却没有超时。 上周我们提到看到MyDoom，在MessageLabs Flash动画中发生了爆炸，并承诺将其提供给所有人观看。 这里是 。

微软本周宣布了另外三个漏洞并发布了补丁。 两个是重要级别优先级，一个是关键级别。 最严重的漏洞涉及Windows中的代码库，该代码库对于保护Web和本地应用程序至关重要。 有关该漏洞，其影响以及您需要执行的操作的更多信息，请参阅我们的特别报告。 其他两个漏洞涉及Windows Internet命名服务（WINS）服务，另一个位于Mac版本的Virtual PC中。 有关更多信息，请参见我们的Windows安全更新部分。

如果它看起来像鸭子，走路像鸭子，嘎嘎叫鸭子，是鸭子还是病毒？ 也许（也许不是），但是AOL警告用户（图1）不要单击上周通过Instant Messenger进行巡回检查的消息。

该消息包含一个链接，该链接安装了一个游戏，即Capture Saddam或Night Rapter，具体取决于消息的版本（图2）。 游戏中包含BuddyLinks，这是一种类似于病毒的技术，可以自动将邮件的副本发送给好友列表中的每个人。 该技术通过其自动消息营销活动进行病毒式营销，并向您发送广告，并可能劫持（重定向）您的浏览器。 截至周五，游戏网站（www.wgutv.com）和Buddylinks网站（www.buddylinks.net）均已关闭，并且位于剑桥的Buddylinks公司未回电话。

更新：上周我们告诉您一个虚假的“请勿发送电子邮件”网站，承诺减少垃圾邮件，但实际上是垃圾邮件发送者的电子邮件地址收集器。 本周，路透社的一篇报道报道说，美国联邦贸易委员会警告说：“消费者不应将其电子邮件地址提交到一个承诺减少垃圾邮件的网站，因为它是欺诈邮件。” 本文将继续描述该网站，并建议我们“一直将您的个人信息（包括您的电子邮件地址）保留给自己，除非您知道与谁打交道”。

2月12日（星期四），Microsoft发现其一些源代码正在网上流传。 他们将其追溯到MainSoft，这是一家为Unix应用程序程序员提供Windows到Unix界面的公司。 MainSoft已获得Windows 2000源代码的许可，特别是与Windows的API（应用程序接口）有关的部分。 根据eWeek的故事，该代码不完整或不可编译。 尽管Windows API发布良好，但底层源代码却不行。 该API是执行Windows运行任务（例如在屏幕上放置按钮，进行安全保护或将文件写入硬盘）的代码函数和例程的集合。 Windows中的许多漏洞源于这些功能的未经检查的缓冲区和参数。 这些漏洞通常涉及将特制的消息或参数传递给这些功能，从而导致它们失败并打开系统以供利用。 由于Windows XP和Windows 2003 Server中也包含了许多Windows 2000代码，因此拥有源代码可以使病毒编写者和恶意用户更容易地发现特定例程中的漏洞并加以利用。 尽管漏洞通常是在Microsoft或第三方资源公开之前识别的，从而给了发布补丁程序的时间，但这可能使该程序陷入困境，使黑客处于在Microsoft找到并修补漏洞之前发现和利用漏洞的位置。