[转载]全面分析Zotob(狙击波)和MS05-039漏洞的利用

信息来源：网络分析专家论坛
这几天，一个利用MS05-039漏洞的蠕虫病毒Zotob在全球展开了轰轰烈烈的运动，该病毒被称为历史上最快利用微软漏洞攻击电脑的病毒，最早可能源自欧洲芬兰，但又说法不一。
MessageLabs认为Zotob蠕虫及之后Mytob病毒应该是由同一个人制造，现仅有资料表明，制造者用的昵称是"Diabl0"，并且使用土耳其语，代码信息表明其始作蛹者叫Diabl0，并且它与之后的Mytob病毒最初连接到同一个IRC服务器上；
F-Secure公司的主要研究人Mikko Hypponen称还没有找到谁是Zotob蠕虫的制造者，他说：“可能就是制造Mytob的这个家伙制造了Zotob，但至少现在还不确定。”根据F-Secure对原始的Zotob病毒代码研究表明，最初编写能够利用微软安全漏洞的Zotob 者可能是一个俄国人，他的名字叫"Houseofdabus"。这个人曾在去年制造了Sasser蠕虫代码，其传播速度和危害性远比Zotob还要大。（On F-Secure’s Web Site:The worm is based on Mytob and might be using exploit code published by 'houseofdabus' four days ago.）
病毒上传到互连网之后在欧洲迅速流传。反病毒专家警告，“狙击波”病毒主要利用漏洞进行主动传播，对于个人电脑危害较大，其危害程度与当年的“震荡波”相似。
本文从病毒危害性，蠕虫特征，利用专业扫描工具检测漏洞，漏洞利用，通过sniffer工具分析，利用多家公司提供的工具查杀病毒和补丁修补漏洞等方面介绍Zotob病毒的危害和防御。