评:预料之中,该来的终于来了!微软是10月24日发布的最新漏洞补丁(见:微软系统爆出2008年最大的安全漏洞(KB958644)附补丁下载 ,微软官方MS08-067安全公告),仅10天时间,利用此漏洞的多款全自动攻击工具就推出并广泛传播提供下载,之所以称之为“工具”而不叫“病毒”,是因为此软件只是一利用漏洞植入木马的工具软件,而植入木马的行为是由使用此工具的病毒散布者产生的,如同使用P2P工具传播盗版,你能冶P2P工具的罪吗?再看狼牙抓鸡器的制作组织的声明:我们核心发表的
下面是互联网上摘抄的文章:
微软“黑屏”后遗症爆发“狼牙抓鸡器”每天抓“鸡”上万只。
微软“黑屏”后遗症已初步爆发!许多网友正在庆幸躲过了“黑屏”,却没想到自己已因此而沦为了“肉鸡”。
最近一段时间,为了避免下载微软的黑屏补丁,许多网友关闭了系统自动更新,从而给了黑客们利用系统漏洞作恶的机会。网上最近忽然冒出来“狼牙全自动抓鸡器”等多款恶意工具,并在迅速流传之中。据分析,这类“狼牙抓鸡器”每天可以控制上万台普通用户电脑,将其变为黑客手中任人宰割的“肉鸡”。更可怕的是,中招电脑就象《黑客帝国》中那些被史密斯特工传染的人物一样,马上变成又一个史密斯特工,转身就开始主动攻击局域网内的其它电脑。
任何人一旦得到“狼牙抓鸡器”这类工具,都可通过这些工具对指定IP段进行扫描,一旦发现没有更新KB958644补丁的联网电脑,填入木马下载地址后便能发起远程攻击,无论你的电脑是否设置系统密码或安装杀毒软件,都只能任由对方远程控制,成为任由他人摆布的“肉鸡”。某黑客组织甚至声称,“扫描一天一夜即可抓取上万只‘肉鸡’”!
受到“扫荡波”攻击的系统会出现“svchost.exe应用程序错误”提示,无论点击“确定”还是“取消”按钮,系统或断网、或崩溃,如电脑桌面显示为乱码、程序无响应、无法打开任务管理器,各种症状层出不穷,使用任何杀毒软件均无济于事,即使重装系统也不能解决问题,除了修复系统之外再无药可救。如果您的电脑出现这样的情况,那很可能已经沦为黑客的“肉鸡”。
狼牙抓鸡器(又称狼牙全自动抓鸡器)简介
狼牙抓鸡器是什么东东?它可通过这些工具对指定IP段进行扫描,一旦发现没有更新KB958644补丁的联网电脑,填入木马下载地址后便能发起远程攻击,无论你的电脑是否设置系统密码或安装杀毒软件,都只能任由对方远程控制,成为任由他人摆布的“肉鸡”。某黑客组织甚至声称,“扫描一天一夜即可抓取上万只‘肉鸡’”!
据了解,这是黑客利用微软最新RPC漏洞MS08-067实施的“扫荡波”蠕虫攻击,用户如尚未给系统打好KB958644补丁,一旦被黑客扫描发现,瞬间便受到蠕虫病毒侵袭,成为被黑客远程控制的帮凶,主动去攻击其他用户的电脑。也就是说,局域网中一旦有一台电脑中招,全网没有修复漏洞的电脑就都会感染病毒,其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。
一些已中招的网友反映:受到“扫荡波”攻击的系统会出现“svchost.exe应用程序错误”提示,无论点击“确定”还是“取消”按钮,系统或断网、或崩溃,如电脑桌面显示为乱码、程序无响应、无法打开任务管理器,各种症状层出不穷,使用任何杀毒软件均无济于事,即使重装系统也不能解决问题,除了修复系统之外再无药可救。如果您的电脑出现这样的情况,那很可能已经沦为黑客的“肉鸡”。
狼牙抓鸡器防治及中毒后的解决办法:
打上此漏洞补丁: KB958644补丁下载
中毒查杀:下载奇虎360安全卫士 下载卡巴斯基杀毒软件
因为中毒后会自动下载木马病毒,而下载的木马类型是随机不可预见的,所以不能保证能完全清除,有些病毒可能还会反杀杀毒软件,所以,最安全的办法是完全重装系统!
- 来自微软官方的未打漏洞补丁时的应急解决办法(推荐非局域网家庭个人用户使用):
变通办法是指一种设置或配置更改,它不能从根本上纠正漏洞,但有助于在应用更新之前封堵已知的攻击源。 Microsoft 已测试了以下变通方法,并在讨论中指明了变通方法是否会降低功能性:
| • |
禁用服务器服务和计算机浏览器服务 在受影响的系统上禁用计算机浏览器服务和服务器服务将帮助保护系统免遭利用此漏洞的远程尝试。 您可以使用下列步骤禁用这些服务:
变通办法的影响。 如果禁用计算机浏览器服务,则明显依赖计算机浏览器服务的任何服务将在系统事件日志中记录错误消息。 有关计算机浏览器服务的详细信息,请参阅 Microsoft 知识库文章 188001。如果服务器服务被禁用,您将无法从您的计算机共享文件或打印机。 但是,您仍能够查看并使用其他系统上的文件共享和打印机资源。 如何撤消变通方法。 您可以使用下列步骤启用这些服务:
|
| • |
在 Windows Vista、Windows Server 2008 和 Windows 7 Beta 上,筛选受影响的 RPC 标识符 除了使用 Windows 防火墙阻止端口外,Windows Vista、Windows Server 2008 和 Windows 7 Beta 版本还可以选择性地筛选 RPC 通用唯一标识符 (UUID)。 要阻止此漏洞,请添加一条规则以阻止 UUID 为 4b324fc8-1670-01d3-1278-5a47bf6ee188 的所有 RPC 请求。可通过网络外壳完成此操作。 要访问网络外壳,请从提升的命令提示符处运行下列命令: netsh 在 netsh 环境中,请输入下列命令: netsh>rpc netsh rpc>filter netsh rpc filter>add rule layer=um actiontype=block netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188 netsh rpc filter>add filter netsh rpc filter>quit 筛选键是一个随机生成的、特定于每个系统的 UUID。 要确认筛选器已就位,请从提升的命令提示符处运行下列命令: netsh rpc filter show filter 如果命令成功,则系统会显示下列信息: 正在列出所有 RPC 筛选器。 --------------------------------- filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx displayData.name: RPCFilter displayData.description: RPC Filter filterId: 0x12f79 layerKey: um weight: 键入: FWP_EMPTY Value: Empty action.type: block numFilterConditions: 1 其中 filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 等于随机生成的、与您的系统相关的 UUID。 变通办法的影响。 依赖 Microsoft 服务器消息块 (SMB) 协议的某些应用程序可能无法按预期正常工作。 但是,您仍能够查看并使用其他系统上的文件共享和打印机资源。 如何撤消变通方法。 通过提升的命令提示符运行以下命令: netsh rpc filter delete filter xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 其中 filterKey: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 等于随机生成的、与您的系统相关的 UUID。 |
||||||||||||||||||||||||||||||
| • |
在防火墙处阻止 TCP 端口 139 和 445 这些端口用于启动与受影响组件的连接。 将 TCP 端口 139 和 445 阻止在防火墙处,有助于保护位于防火墙后面的系统尝试利用此漏洞。 Microsoft 建议阻塞所有来自 Internet 的未经请求的入站通信,以帮助阻止可能使用其他端口进行的攻击。 有关端口的详细信息,请参阅 TCP 和 UDP 端口分配。 变通办法的影响。 许多 Windows 服务使用受影响的端口。 阻止与端口进行连接可能导致各种应用程序或服务无法正常运行。 以下列出了可能受到影响的某些应用程序或服务:
|
||||||||||||||||||||||||||||||
| • |
为帮助防止攻击者试图基于网络利用此漏洞,请使用个人防火墙,例如 Internet 连接防火墙 Windows Vista 的所有受支持版本均会附带提供 Windows Firewall 防火墙,它是一个已自动启用的双向防火墙。 对于 Windows XP 和 Windows Server 2003 的所有受支持版本,请使用 Internet 连接防火墙功能阻止未经请求的传入流量,从而帮助保护您的 Internet 连接。 Microsoft 建议您阻止所有来自 Internet 的非法传入通信。 在 Windows XP Service Pack 2 和 Windows XP Service Pack 3 中,此功能称为 Windows 防火墙。 默认情况下,Windows XP 中的 Windows 防火墙功能可通过阻止未经请求传入的通信保护您的 Internet 连接。 我们建议您阻止所有来自 Internet 的非法传入通信。 要使用网络安装向导启用 Windows 防火墙功能,请按照以下步骤进行操作:
对于 Windows Server 2003 系统,请使用下列步骤手动配置某个连接的 Internet 连接防火墙:
注意 如果要通过防火墙启用某些程序和服务以进行通信,请单击“高级”选项卡上的“设置”,然后选择所需的程序、协议和服务。 |