New Document

 
故为兵之事,在于顺祥敌之意,兵敌一向,千里杀将。此为巧能成事者也;
不谋万事者,不足谋一时。不谋全局者,不足谋一域;
良将用兵,若良医疗病,病万变,药亦万变.


  








处理 SSI 文件时出错


  
 


欢迎光临孤独老雕 …… http://beetle.blog.edu.cn

Trojan.pakes.r病毒公告及解决方案
□gududiao 发表于 2006-4-30 18:18:00

 



Trojan/Pakes.c 是一个专门盗取用户计算机系统信息及用户机密的木马程序。病毒本身为一个.dll文件。病毒运行后,自我复制到系统目录下,并修改注册表。当病毒重启,该木马便会成功盗取用户域、用户名、用户密码等信息。该木马程序会将这些信息记录在一个名为Passlist.txt的文档,并通过多种途经将该文档发送给黑客。

Trojan.pakes.r病毒公告及解决方案


病毒名:   trojan.pakes.r/backdoor.rbot.alj 风险等级:   中
发布时间:    2005年12月31日 传播等级:   中
类型:   蠕虫   

感染方式:

(1)病毒程序运行后将释放以下文件:

%SystemRoot%\system32\winssh.exe

%SystemRoot%\system32\winsrs.exe

并设置文件属性为:隐藏、只读、系统

(2)病毒程序监控Windows窗口:cmd、任务管理器、注册表等程序启动后立即被病毒进程结束。禁止用户手工更新系统补丁。

(3)被感染主机每次开机自动运行程序winsrs.exe,连接IP为71.195.148.185主机的1863端口。

(4)该程序开启大量线呈,占用数十个连续端口,严重消耗系统资源。

(5)病毒程序修改注册表多处键值,具体如下:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名:Windows SRS Client

键值:winsrs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

键名:Windows SRS Client

键值:winsrs.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名:Windows SRS Client

键值:winsrs.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

键名:Windows SRS Client

键值:winsrs.exe

__________________________________________________________________

传播方式:

被感染主机通过扫描网络中SQLServer弱口令和未安装SQL Server sp3补丁的主机,然后攻击其1433端口,继续传播病毒。传播途径有:

(1)系统漏洞

感染目标:存在以下漏洞主机

漏洞
补丁

LSASS (MS04-011)
KB835732

WKS (MS03-049)
KB828749

RPC-DCOM (MS04-012),
KB828741

ASN.1 (MS04-007)
KB828028

PNP (MS05-039)
KB899588


(2)网络共享:存在弱口令的机器

(3)Sql server漏洞,弱口令

解决方法:

结束病毒进程:winsrs.exe
使用IceSword等第三方进程管理程序结束进程。

(2)删除病毒文件:

%SystemRoot%\system32\winssh.exe,%SystemRoot%\system32\winsrs.exe

(3)修复注册表,删除以下键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名:Windows SRS Client

键值:winsrs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

键名:Windows SRS Client

键值:winsrs.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键名:Windows SRS Client

键值:winsrs.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

键名:Windows SRS Client

键值:winsrs.exe

(4)重新启动计算机

(5)安装SQL Server sp3,加固SQL密码

(6)升级VRV杀毒软件,升级系统补丁,安装防火墙

版本
补丁

Sql7.0
Sp4

Sql2000
Sp3或SP4

MS03-031
KB815495


说明:

sql2000已安装sp3用户可根据需要选择安装kb815495或安装sp4,已安装sp4的用户则不需要安装其它补丁。
SQL 7.0SQL 7.0用户安装sp4后,更新KB815495

 

http://www.ladyland.cn/developer/SQL/wenzhai/200508/7263.html

阅读全文 | 回复(0) | 引用通告 | 编辑

处理 SSI 文件时出错

发表评论:

    昵称:
    密码: (游客无须输入密码)
    主页:
    标题:
    页面数据载入