针对微软MS06-40安全漏洞的恶意攻击正在进行,被恶意软件劫持的Windows机器将成为IRC控制僵尸网络的一部分,被攻击者肆意利用。
此次攻击始于12日,所用的是一个后门木马程序。该木马在安装后可修改系统安全设置,随后连接到一个远程IRC服务器上,接受远程攻击者的控制。13日,第二波木马攻击来袭,表明攻击者可能要“打持久战”。
该木马会将自身拷贝自系统目录,并命名为“wgareg.exe”,随后添加自启动服务“Windows正版增值注册服务”。为了进一步迷惑用户,木马还会发出警告说:“确保你的微软Windows拷贝是正版的、注册过的。请勿停止或取消此服务,否则会导致系统不稳定。”
微软安全响应中心表示,这次木马攻击具有“高度的针对性”,未打补丁的Windows 2000系统是重点攻击目标。
据安全机构LURHQ Threat Intelligence Group称,攻击者使用的是Mocbot木马的一个变种。Mocbot木马曾在去年8月的狙击波(Zotob)蠕虫攻击中被使用,而攻击者现在使用的仍是同样的IRC服务器主机名和命令控制方式。
美国国土安全部(DHS)上周曾敦促Windows用户尽快打上MS06-040补丁KB921883,以防蠕虫袭击,这是DHS首次建议电脑用户使用安全补丁。
微软安全公告:MS06-040
