8月15日发布贼头病毒(WORM_ZOTOB.A)中度风险警报后，在今天(8月17日)又迅速发布了“贼头”变种和“暴徒”(WORM_ZOTOB.D&WORM_RBOT.CBQ)这两种蠕虫病毒联合作案的中度风险警报。他们仍然利用微软的即插即用服务漏洞进行攻击，会让用户不断的关机和开机。 “每隔几分钟就有一个变种出现，我们还在整理感染的案例报告，这是全球性的病毒。”趋势科技中国技术支持经理李晶表示。


　　目前，趋势科技已经收到了来自美国、巴西、中国等地的病毒报告。所有这些蠕虫都是利用微软的随插即用功能漏洞，微软在上周所发出的每月修补程序中放入该漏洞的解决方案。微软还将该漏洞列为最严重的“critical”等级。据说美国许多企业的计算机在这波攻击中受到波及，包括CNN有线电视、ABC与纽约时报都遭袭击。纽约时报方面表示，该公司遭到病毒入侵，但还好没有影响出报时间。“我们的网站没有受到影响，新闻出报也相当正常。”一位代表表示，他不愿透露受感染的严重程度，仅表示纽约时报的内部系统“还可以运作”。 微软已经开始调查此一蠕虫感染事件，该公司在声明稿中将暴徒病毒“Worm_Rbot.CEQ”(Rbot变种)列为此次为患的祸首。

　　趋势科技全球防毒研发暨技术支持中心 TrendLabs 分析指出，贼头病种病毒和暴徒病毒的传播行为只针对Windows 2000, XP, 和 Server 2003系统，因为微软的即插即用服务漏洞只存在于这些系统上。

　　贼头变种病毒会扫描存在漏洞系统的IP地址，随后通过端口445连接到该机器。如果该端口打开，病毒就会攻击目标机器。如果攻击失败或该机器的445端口未打开，病毒就会将另外一个IP地址的机器作为目标机器。另外，病毒还会在受感染机器上建立一个FTP服务器，随后该机器在端口7778上为其他机器提供病毒体下载。

　　该病毒还具有后门功能，它打开一个任意的端口并连接到一个网络聊天室(IRC服务器)。一旦连接成功，它就会加入进去，使远程恶意用户可以在受感染机器上执行恶意行为，这些行为包括窃取系统信息。通过这种方式可以使远程恶意用户实现对受感染系统的虚拟控制，危害系统的安全。

　　同时，该病毒的后门功能还包括获取包括CPU速度和内存大小等在内的系统信息。另外，该病毒使用了反“除虫”技术，它还利用了现在流行于Blog的连接工具RSS来搜集网站信息，随后通过它建立的网络聊天室连接任意发布这些网站的信息。这样做就可以迷惑聊天室管理员，较之前的ZOTOB.A病毒它则更加隐蔽。

　　暴徒病毒RBOT.CBQ则在Windows系统文件夹中产生自身的拷贝文件WINTBP.EXE。该病毒同样利用微软的即插即用服务通过网络进行传播。

　　紧急解救方法：

　　趋势科技提醒广大计算机用户，如果不幸遇到这种病毒，请使用趋势科技的防病毒产品扫描你的系统辨别病毒程序。请趋势科技用户将病毒码升级到2.787，并且下载和部署版本为373的TSC工具查杀此病毒

　　专杀工具下载地址：ftp://ftp.trendmicro.com.cn/Support/Public/清毒工具/通用工具/TSC