“黑屏”后特大安全漏洞病毒爆发 用户网络崩溃

　　微软“黑屏”迷雾逐渐散去，一场规模空前的病毒风暴却在酝酿。金山毒霸全球反病毒应急处理中心发布紧急预警，一个利用微软“黑屏”后出现的重大安全漏洞MS08-067进行攻击的病毒“扫荡波”正在大范围“扫荡”用户电脑。未修复该漏洞的机器被攻击后可能会大量出现“svchost.exe报错”，造成用户网络崩溃。

　　金山毒霸反病毒专家李铁军担心的表示，“扫荡波”更严重的危害在于，局域网中一旦有一台电脑中招，全网没有修复漏洞的电脑就都会感染病毒。如果待该病毒更新成为一个典型的蠕虫后，其传播量将会倍增，到时的实际危害将远超“冲击波”，国内用户面临着微软“黑屏”带来的最大后遗症。

　　金山毒霸反病毒专家李铁军表示，扫荡波主要通过挂马方式传播。未修补微软MS08-067漏洞补丁用户，访问被恶意挂马的网站时即遭受“扫荡波”攻击，受到攻击的系统，一旦攻击失败将弹出svchost.exe崩溃，直接导致用户断网。如攻击成功，“扫荡波”将在用户电脑中下载一个“下载者病毒”，该下载者还会下载其他的木马程序安装到被攻击的计算机上。已知会下载的木马程序包括：机器狗木马下载器，QQ三国、完美系列网游等游戏盗号器，而这一切用户并不知情。

　　金山毒霸同时第一时间推出解决方案：

　　1) 建议用户开启金山毒霸文件监控，下载的病毒已经可以查杀。

　　2) 提醒用户使用金山清理专家http://www.duba.net/zt/black/index1.html第MS08-067(KB958644)补丁，及时修复系统漏洞。

　　3) 如果打补丁出现问题或还出现攻击推崇的崩溃现象则可以使用手工解决方案

　　禁用IPC$空连接，避免病毒连接到用户系统上。方法如下：

　　运行regedit，找到如下子键|

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA

　　把RestrictAnonymous键值改为REG_DWORD：00000001

　　金山毒霸详解“扫荡波”蠕虫攻击流程：

　　1.利用MS08-067漏洞攻击,尝试创建IPC$空连接(图1)

2.通过管道方式连接设备rower(图2)

　　3.攻击失败的时候会弹出svchost.exe崩溃，无论点击“确定”还是“取消”按钮，都会造成网络奔溃，用户不能上网。

　　未安装VS的机器上(普通用户)是类似于(图3)

　　4.攻击成功,将执行一段shellcode下载病毒ko.exe运行,其中ko.exe是另一个木马下载器(图4)