注:各位看客可能说,这厮是不是抽风了,放这么老的东西。哎,最近在做IDS的日志分析,我就纳闷了,在09年了,居然还能看到四五年前的东西报警,误报还是网络中安全意识太差的人太多,不知道了。我收集一下,为了自己方便,其实主要看看他们利用的是什么漏洞,以此来判定是否为误报。其实大家心里也都明白,IDS的误报、漏报,别太相信他了。
Worm/Sasser (震荡波):
病毒类型:蠕虫病毒
蠕虫长度:15872字节
危害等级:***
感染系统:Windows 2000/2003/XP
该病毒利用的是微软的漏洞:MS04-011进行传播,下载地址:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
传播过程及特征:
(1)该蠕虫不象往常的蠕虫那样通过邮件传播,而只是通过系统漏洞传播。
(2)该蠕虫用来传播的文件名称是:avserve.exe (大小是15872字节)。
(3)该蠕虫不通过邮件等传统蠕虫利用的途径传播,它的传播不需要人为的干预,该蠕虫能自动在网络上搜索含有漏洞的系统,并引导这些有漏洞的系统下载病毒文件并执行。
(4)从TCP的1068端口开始搜寻可能的IP地址并试图传播。
(5)在TCP端口5554,建立FTP文件服务器,该蠕虫能自动创建FTP脚本文件,并运行该脚本.该脚本能自动引导被感染的机器下载执行蠕虫程序.所有这些操作的进行都是通过TCP端口5554进行的。
病毒名称:极速波(I-Worm/Zobot)
病毒类型:蠕虫、后门
病毒大小:22528字节
传播方式:网络
危害程度:★★★
2005年8月15日,江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”(MS05-039)的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播,并且可以通过IRC接受黑客命令,使被感染计算机被黑客完全控制。
本文还暂无回复