每到年终病毒都会变得格外活跃,12月18日,江民反病毒研究中心监测到，一种通过微软10月份发布的严重级漏洞MS05-051传播的蠕虫病毒“黛蛇”（I-Worm/Dasher.B）出现在网上。该病毒通过攻击TCP1025端口获得远程执行命令的权限，还针对微软MS04-045、MS04-039漏洞或利用SQL溢出工具进行攻击。蠕虫感染成功后将安装键盘记录程序，对用户所有的击键动作进行记录，从而窃取电脑用户的密码口令等机密信息。

江民反病毒专家介绍，“黛蛇”（I-Worm/Dasher.B）运行后，会扫描并试图利用漏洞攻击病毒自带的地址列表中的目标主机，其中多数为中国用户。攻击目标主机成功后，病毒会操纵目标主机自动连接到某控制服务器的53号端口请求黑客指令，然后根据该黑客指令从某个ftp服务器下载并运行一个键盘记录软件和Dasher蠕虫文件包，从而完成传染过程。其中存放恶意代码的ftp服务器的地址是由控制服务器动态指定的。蠕虫下载的键盘记录软件文件名为0.exe，可以自解压运行，还可自动连接某网站下载执行sdbot僵尸程序，以达到完全控制染毒机器的目的。病毒下载的蠕虫文件包名为1.exe，解压缩执行后，在系统目录(C:\windows\system32或C:\winnt\system32)下的wins目录释放出6个可执行文件，分别为Sqltob.exe;Sqlscan.exe;Sqlexp.exe;Sqlexp1.exe;Sqlexp2.exe;Sqlexp3.exe。其中：

Sqlexp.exe攻击 MS04-045 wins服务漏洞,协议和端口为TCP/42;

Sqlexp1.exe攻击 MS05-039 upnp漏洞，协议和端口为TCP/445;

Sqlexp2.exe 攻击 MS05-051 msdtc漏洞，协议和端口为TCP/1025;

Sqlexp3.exe利用sql hello exploit工具攻击MSSQLServer漏洞，协议和端口为TCP/1433.攻击日志保存在系统目录下的wins目录的result.txt.

江民反病毒专家提醒用户，由于该病毒主要针对国内用户，因此国内的各大企事业单位应重点做好病毒防御工作，及时打上系统漏洞补丁，安装网络版杀毒软件，开启病毒实时监控，对该蠕虫进行全网防杀。目前国家计算机网络安全应急处理中心已经针对该病毒采取了紧急控制措施，但专家担心病毒变种会很快产生，因此电脑用户仍不能掉以轻心。专家建议立即采取以下三种措施进行病毒防御工作：

1）手工检查：

　　查看系统上是否存在Sqltob.exe,Sqlscan.exe,Sqlexp.exe,Sqlexp1.exe,

Sqlexp2.exe,Sqlexp3.exe文件，如果存在，将进程停止并删除相应文件。

　　2）升级补丁：

　　用户应立刻升级MS05-051、MS04-045、MS04-039补丁程序。

　　补丁下载位置：

　　　　 http://www.microsoft.com/technet/security/Bulletin/MS05-051.mspx

　　 http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx

http://www.microsoft.com/technet/security/bulletin/MS05-045.mspx

　　3）使用杀毒软件全盘查杀：建议用户立即安装防病毒软件，并更新到最新版本，对系统进行彻底查杀。

每到年终病毒都会变得格外活跃,12月18日,江民反病毒研究中心监测到，一种通过微软10月份发布的严重级漏洞MS05-051传播的蠕虫病毒“黛蛇”（I-Worm/Dasher.B）出现在网上。该病毒通过攻击TCP1025端口获得远程执行命令的权限，还针对微软MS04-045、MS04-039漏洞或利用SQL溢出工具进行攻击。蠕虫感染成功后将安装键盘记录程序，对用户所有的击键动作进行记录，从而窃取电脑用户的密码口令等机密信息。

江民反病毒专家介绍，“黛蛇”（I-Worm/Dasher.B）运行后，会扫描并试图利用漏洞攻击病毒自带的地址列表中的目标主机，其中多数为中国用户。攻击目标主机成功后，病毒会操纵目标主机自动连接到某控制服务器的53号端口请求黑客指令，然后根据该黑客指令从某个ftp服务器下载并运行一个键盘记录软件和Dasher蠕虫文件包，从而完成传染过程。其中存放恶意代码的ftp服务器的地址是由控制服务器动态指定的。蠕虫下载的键盘记录软件文件名为0.exe，可以自解压运行，还可自动连接某网站下载执行sdbot僵尸程序，以达到完全控制染毒机器的目的。病毒下载的蠕虫文件包名为1.exe，解压缩执行后，在系统目录(C:\windows\system32或

C:\winnt\system32)下的wins目录释放出6个可执行文件，分别为Sqltob.exe;Sqlscan.

exe;Sqlexp.exe;Sqlexp1.exe;Sqlexp2.exe;Sqlexp3.exe。其中：

Sqlexp.exe攻击 MS04-045 wins服务漏洞,协议和端口为TCP/42;

Sqlexp1.exe攻击 MS05-039 upnp漏洞，协议和端口为TCP/445;

Sqlexp2.exe 攻击 MS05-051 msdtc漏洞，协议和端口为TCP/1025;

Sqlexp3.exe利用sql hello exploit工具攻击MSSQLServer漏洞，协议和端口为TCP/1433.攻击日志保存在系统目录下的wins目录的result.txt.

江民反病毒专家提醒用户，由于该病毒主要针对国内用户，因此国内的各大企事业单位应重点做好病毒防御工作，及时打上系统漏洞补丁，安装网络版杀毒软件，开启病毒实时监控，对该蠕虫进行全网防杀。目前国家计算机网络安全应急处理中心已经针对该病毒采取了紧急控制措施，但专家担心病毒变种会很快产生，因此电脑用户仍不能掉以轻心。专家建议立即采取以下三种措施进行病毒防御工作：

1）手工检查：

　　查看系统上是否存在Sqltob.exe,Sqlscan.exe,Sqlexp.exe,Sqlexp1.exe,

Sqlexp2.exe,Sqlexp3.exe文件，如果存在，将进程停止并删除相应文件。

　　2）升级补丁：

　　用户应立刻升级MS05-051、MS04-045、MS04-039补丁程序。

　　补丁下载位置：

　http://www.microsoft.com/technet/security/Bulletin/MS05-051.mspx

　http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx

　　 http://www.microsoft.com/technet/security/bulletin/MS05-045.mspx

　　3）使用杀毒软件全盘查杀：建议用户立即安装防病毒软件，并更新到最新版本，

对系统进行彻底查杀。