今天中文开始上网速度奇慢,安装norton Internet Security后发现在\winnt\system32\目录下一个iexplore.exe程序(绝对不是IE,看看它的版本信息就知道了)在访问cn.yahoo.com(61.135.128.76),禁止它访问,然后它就使用其他端口去访问,端口号递加,我的机器一直使用NAV,而且始终都是最新的病毒库,没有提示我有病毒,现在我好多网站多不能访问,尤其是google!!各位大虾,快出手!
调试欢乐多
http://expert.csdn.net/Expert/topic/1392/1392313.xml?temp=.71513
更详细的报道去这看看:http://www.nsfocus.com
其实美国CNN有线电视网的网站上也有类似消息:http://www.cnn.com
技术细节:
该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击,获得控制权。
随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。
紧接着调用 gettickcount函数,利用其返回值产生一个随机数种子,并用此种子产生一个IP地址作为攻击对象;随后创建一个UDP socket,将自身代码发送到目的被攻击机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动攻击一系列动作。