金山毒霸反病毒專家李鐵軍表示,“掃蕩波”運行后遍歷局域網的計算機并發起攻擊,攻擊成功后,被攻擊的計算機會下載并執行一個下載者病毒,而下載者病毒還會下載“掃蕩波”,同時再下載一批游戲盜號木馬。被攻擊的計算機中“掃蕩波”而后再向其他計算機發起攻擊,如此向互聯網中蔓延開來。據了解,之前發現的蠕蟲病毒一般通過自身傳播,而掃蕩波則通過下載器病毒進行下載傳播,由于其已經具備了自傳播特性,因此,被金山毒霸反病毒工程師確認為新型蠕蟲。
李鐵軍指出,掃蕩波如果對局域網內電腦的攻擊失敗,這些電腦上則會出現“svchost.exe”出錯的提示,說“svchost.exe中發生未處理的win32異常”,同時網絡連接中斷。用戶要是發現自己的電腦中出現此情況,就說明您電腦所處的局域網內有機器中毒。此時,如果您的電腦并沒有中毒,但千萬不可以有僥幸心理,應該立即打上MS08-067補丁,因為該毒的攻擊不會僅僅一次,而且隨著病毒作者對其進行升級,掃蕩波會擁有更強的攻擊力。
據了解,10月24日,微軟宣布“黑屏”后的第3天,緊急發布發布了MS08-067安全公告,提示用戶注意一個非常危險的漏洞,而后利用該漏洞發動攻擊的惡意程序不斷涌現;10月24日晚,金山發布紅色安全預警,通過對微軟MS08-067漏洞進行詳細的攻擊原型模擬演示,證實了黑客完全有機會利用微軟MS08-067漏洞發起遠程攻擊,微軟操作系統面臨大面積崩潰威脅;11月7日,金山再次發布預警,“掃蕩波”病毒正在利用該漏洞進行大面積攻擊;11月7日晚,金山已證實“掃蕩波”實為一個新型蠕蟲病毒,并發布周末紅色病毒預警。
據金山毒霸反病毒專家預測,掃蕩波蠕蟲將在近段時間內引起大范圍的攻擊。因此提醒廣大網民尤其是企業網管人員,采取一下措施進行查殺和預防:
1) 建議用戶安裝金山毒霸(www.duba.net)并開啟毒霸文件監控,下載的病毒已經可以查殺
2)提醒用戶使用金山清理專家(http://www.duba.net/qing/)進行MS08-067(KB958644)補丁修復
3) 如果打補丁過程中出現問題或還出現崩潰現象則可以使用手工解決方案:
禁用IPC$空連接,避免病毒連接到用戶系統上。方法如下:
運行regedit,找到如下子鍵|
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA
把RestrictAnonymous鍵值改為REG_DWORD:00000001
4)金山網鏢中已經緊急增加了檢測掃蕩波攻擊特征并攔截的功能,即使用戶不打補丁,開啟網鏢也可以攔截此類攻擊。但我們仍然強烈建議用戶修復此漏洞
