大师病毒变种疑似国产 国内用户面临威胁

　　金山反病毒监测中心继12月16日截获的“大师(Worm.Dasher.A)”病毒及变种“Worm.Dasher.B”之后，在12月19日又率先截获了最新变种“Worm.Dasher.C”。经过技术分析，金山反病毒工程师发现，“大师”变种很有可能是国人制造，病毒制造者试图通过编写此病毒，达到出名的目的，因此国内用户面临巨大的潜在威胁。

　　“大师”变种C采用反弹方式连接到IP 222.240.219.143(湖南长沙)，在感染的系统

中打开后门，让病毒作者完全控制系统。利用FTP下载可执行程序，使感染的系统再受其它病毒的侵扰。据金山反病毒工程师介绍:该病毒可关闭个人网络防火墙，部分国内安全厂商的个人防火墙未能幸免;病毒反弹连接的IP为国内地址;所使用的漏洞攻击工具更是直指中文系统。根据以上三点分析，该病毒为国人制造的可能性非常之大。

　　金山反病毒工程师介绍，“大师”变种C在以前两个变种的基础上加入了更多功能，以增强自己的传播和感染率。“大师”变种C会结束常用的个人防火墙软件，使自己能顺利访问网络。还会修改

　　病毒会释放更多的漏洞攻击工具来攻击其它系统，以便传播自身。病毒在感染系统后会同时在系统目录中释放多个病毒程序文件，其中:

　　Sqlscan.exe的可执行程序用于远程系统扫描，并将扫描结果保存到一个名为Result.txt的文件中，供其它病毒程序使用;

　　SqlExp.exe是利用MS04-045 Windows 因特网名称服务 (WINS) 漏洞的攻击TCP端口42的病毒程序;

　　SqlExp1.exe是一个利用MS05-039 即插即用中服务漏洞的攻击TCP端口445的病毒程序;

　　SqlExp2.exe是一个利用MS05-051 MSDTC 和 COM+ 漏洞的攻击TCP端口1025的病毒程序;

　　SqlExp3.exe是一个利用MSSQLServer漏洞的攻击TCP端口1433的病毒程序;最后攻击日志会保存到名为Log.txt的文件中。

　　目前“大师”病毒在短短三天时间内接连出现三个变种，已在国外出现了较大的感染情况。由于“大师”变种C很有可能为国人所做，因此国内用户便成为了病毒的潜在攻击对象，金山反病毒工程师提醒用户应该及时下载微软公布的最新补丁，避免病毒利用漏洞袭击自己的电脑。

　　金山毒霸2006具有抢先式防毒技术，能有效拒绝病毒运行，在病毒关闭防火墙时，制止病毒的破坏。另外，主动漏洞修复功能可扫描