金山发布狙击波病毒技术分析报告

　　新浪科技讯 8月16日，针对昨天爆发的“狙击波(Worm.Zotob.A)”病毒及变种“Worm.Zotob.B”“ Worm.Zotob.C”，金山毒霸已升级病毒库到最新，用户可随时登录到db.kingsoft.com下载金山毒霸2005进行免费查杀该病毒及变种。

　　以下为金山公司发布针对该病毒的技术分析报告：

　　“狙击波”病毒主要通过MS05-039漏洞进行传播。病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包，如果攻击失败，受攻击的机器会发生崩溃，出现倒计时对话框，用户可以通过网络防火墙关闭445端口，以阻止攻击。用户一旦感染该病毒，就会通过IRC被病毒传播者控制。该病毒还会禁止用户更新安全软件。

　　该病毒呈现以下特征：

　　1. 病毒将自身复制到以下目录：

　　%system%\botzor.exe

　　2. 在注册表中添加如下键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService

　　"WINDOWS SYSTEM" = "botzor.exe"

　　以在每次启动时运行

　　3. 修改以下服务

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

　　"Start" = 0x00000004

　　以阻止WinXP自带的防火墙运行

　　4.通过MS05-039进行攻击

　　// -=PNP445=- //transfer complete to ip:

　　5.病毒会创建以下互斥量,以保证系统只一个进程运行

　　B-O-T-Z-O-R

　　6.病毒文件中含有以下作者信息

　　Botzor2005 By DiablO

　　7.病毒会链接

　　diabl0.turk*****s.net

　　网站的IRC频道,以接受病毒传播者的控制.

　　8. 修改Host文件，屏蔽大量国内外反病毒和安全厂商的网址，并显示：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!