8月16日，针对昨天爆发的“狙击波(Worm.Zotob.A)”病毒及变种“Worm.Zotob.B”“ Worm.Zotob.C”，金山毒霸已升级病毒库到最新，用户可随时登录到db.kingsoft.com下载金山毒霸2005进行免费查杀该病毒及变种。

以下为金山公司发布针对该病毒的技术分析报告：

“狙击波”病毒主要通过MS05-039漏洞进行传播。病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包，如果攻击失败，受攻击的机器会发生崩溃，出现倒计时对话框，用户可以通过网络防火墙关闭445端口，以阻止攻击。用户一旦感染该病毒，就会通过IRC被病毒传播者控制。该病毒还会禁止用户更新安全软件。

该病毒呈现以下特征：

1. 病毒将自身复制到以下目录：

%system%\botzor.exe

2. 在注册表中添加如下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
un

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
unService

"WINDOWS SYSTEM" = "botzor.exe"

以在每次启动时运行

3. 修改以下服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

"Start" = 0x00000004

以阻止WinXP自带的防火墙运行

4.通过MS05-039进行攻击

// -=PNP445=- //transfer complete to ip:

5.病毒会创建以下互斥量,以保证系统只一个进程运行

B-O-T-Z-O-R

6.病毒文件中含有以下作者信息

Botzor2005 By DiablO

7.病毒会链接

diabl0.turk*****s.net

网站的IRC频道,以接受病毒传播者的控制.

8. 修改Host文件，屏蔽大量国内外反病毒和安全厂商的网址，并显示：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!