发信人: fshmx()
整理人: emil(2000-04-24 14:38:05), 站内信件
|
NIPC(美国国家机构保护中心 -- 由美国联邦调查局FBI 组成)在周末发布
了一条警告,该警告称发现了一类能通过Windows网络传播的蠕虫家族,该蠕虫删
除硬盘信息,并自动拨打911急救报警专线,可能使急救响应系统超载。该警告可
在如下站点找到:
http://www.nipc.gov/nipc/advis00-038.htm
Firkin 蠕虫家族由几个批处理文件组成,现在有3个已知的家族成员。蠕虫
的变种包含检验日期的代码,在每个月的19日,蠕虫删除如下目录的文件:
"c:\windows\*.*"
"c:\windows\system\*.*"
"c:\windows\command\*.*"
"c:\*.*"
然后,显示信息:
"You Have Been Infected By Chode"
"You may now turn this piece of s--t off!"
蠕虫可能修改Autoexec.bat 批处理文件,以使系统每次启动时,使用modem
,呼叫紧急报警号码911。蠕虫还包含的代码有:在一个环路内,在一个随机基点
上PING不同的服务器,直到产生错误为止(Bat/Firkin.c 蠕虫变种)。
蠕虫传播的程序是首先搜索一个相匹配的机器,并尝试将被攻击的计算机的
”c”驱动器映射成本地的”j”驱动器。为了传播,蠕虫得找到一个共享的、没
有口令保护的、可写的C盘。在完成传播的过程中,蠕虫可打印出关于当前被攻击
系统的信息等,这可能是蠕虫制造者在调试时残留的程序代码。这些来自用户的
消息被隐含保存在计算机中。
如果被攻击的系统没有特殊的文件或目录(例如:Bat/Firkin.c 蠕虫变种是
寻找文件"c:\windows\win.com"),蠕虫将停止复制过程。蠕虫检查其它蠕虫或其
家族成员的染毒标志,并执行随后的操作。如果所有的传播条件已完成,那么,
蠕虫将用copy 指令复制自身。
另外,某些变种随机地覆盖"autoexec.bat"文件(例如:Bat/Firkin.c 蠕虫
有1/6可能性),并插入格式化C,D,E,F,G,H 硬盘驱动器的程序代码,然后执行其
它操作。
检测及清除:
KILL 10.18可以检测 Firkin 蠕虫家族。要清除一个已感染的系统必须删除所有
检测出的染毒文件。
建议:
北京冠群金辰公司建议用户在您的网络系统中不要随意共享任何无口令保护的驱
动器或目录。
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.161.76]
|
|