8月15日,金山反病毒應急處理中心截獲一個針對微軟系統嚴重漏洞進行主動攻擊的病毒，并命名為Zotob(Worm.Zotob.A)。金山的反病毒專家說，Zotob病毒利用漏洞主動傳播，對于個人電腦的危害非常大，其危害程度與當年的震蕩波相似，一旦被攻擊，用戶的電腦將會出現不斷重啟、系統不穩定等情況。病毒作者叫囂殺掉這個病毒的殺毒軟件將于24小時內被剿殺！

     Zotob利用5天前微軟剛剛公布的嚴重系統漏洞，Windows Plug and Play 服務漏洞 (MS05-039)， 攻擊TCP端口445，和沖擊波、震蕩波方法類似，攻擊代碼向目標系統的445端口發送漏洞代碼，使目標系統造成緩沖區溢出，同時運行病毒代碼，進行傳播。

　　病毒攻擊目標系統時，可能造成系統不斷重啟（如圖示），與震蕩波、沖擊波發作的時候類似，只不過在Zotob影響的進程變了，變為系統關鍵進程“Service.exe”， Zotob其實是Mytob的最新變種。Mytob是前一陣大肆泛濫的郵件病毒。此次變種，更是加入了5天前才公布漏洞補丁的系統嚴重漏洞（Windows Plug and Play 服務漏洞 (MS05-039) ）進行主動攻擊，使其大大提高了病毒傳播的廣度。因此，Zotob除了利用漏洞攻擊外，還具有郵件傳播、自動下載新病毒等等這些與郵件病毒所具有的危害，使中毒用戶遭受打擊。

　　病毒運行后，將在系統目錄下創建botzor.exe文件,大小為22528字節。在注冊表中添加下列啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDOWS SYSTEM" = botzor.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"WINDOWS SYSTEM" = botzor.exe

　　這樣，在Windows啟動時，病毒就可以自動執行。
 

     “極速波”病毒通過TCP端口8080連接IRC服務器，接受并執行黑客命令。可導致被感染計算機被黑客完全控制。并在TCP端口33333開啟FTP服務，提供病毒文件下載功能。利用微軟即插即用服務遠程代碼執行漏洞（MS05-039）進行傳播。如果漏洞利用代碼成功運行，將導致遠程目標計算機從當前被感染計算機的FTP服務上下載病毒程序。如果漏洞代碼沒有成功運行，未打補丁的遠程計算機可能會出現services.exe進程崩潰的現象。
 
     該病毒的危害還在于，病毒會修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量國外反病毒和安全廠商的網址。并對反病毒廠商提出公開挑戰：第一個發現的反病毒軟件 將在24小時內遭到“剿殺”。（MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!）

關于MS05-039:

Microsoft Windows即插即用緩沖區溢出漏洞（MS05-039）


影響系統：
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000SP4


Microsoft Windows即插即用（PnP）功能允許操作系統在安裝新硬件時能夠檢測到這些設備。

Microsoft Windows即插即用功能中存在緩沖區溢出漏洞，成功利用這個漏洞的攻擊者可以完全控制受影響的系統。

起因是PnP服務處理包含有過多數據的畸形消息的方式。在Windows 2000上，匿名用戶可以通過發送特制消息來利用這個漏洞；在Windows XP Service Pack 1上，只有通過認證的用戶才能發送惡意消息；在Windows XP Service Pack 2和Windows Server 2003上，攻擊者必需本地登陸到系統然后運行特制的應用程序才能利用這個漏洞。

網上已經有了漏洞的利用代碼，處于安全考慮，我們不公開攻擊代碼。該代碼危害極大，可以遠程獲得計算機的全部權限而該電腦只要連接到INTELNET或者局域網內即可,還可以制作Zotob類似病毒,請勿使用該代碼從事非法活動!
注意如果不采取防護措施,即使什么都沒有做也會中毒同震蕩波一樣!

先鋒提醒大家升級殺毒軟件,及時打好系統補丁。請各位根據自己的系統從后面的下載鏈接中選擇相應的內容下載。

如果出現關機對話筐請在開始-運行-CMD-打SHUTDOWN -A取消關機打補丁重起就可以了。

下載: MS05-039：Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588) 補丁
下載: Microsoft Windows 2000 Service Pack 4 補丁
下載: Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2 補丁
下載: Microsoft Windows XP Professional x64 Edition 補丁
下載: Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service Pack 1 補丁
下載: Microsoft Windows Server 2003 for Itanium-based Systems和 Server 2003 with SP1 for Itanium-based Systems 補丁
下載: Microsoft Windows Server 2003 x64 Edition 補丁