国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。* G# ]4 i# y) F
/ x+ ]* s! ~8 u$ s
名称:冲击波杀手 1 e# t% Z! q' y+ \7 U. ~ ' q9 Q+ G5 k7 U. q ^* x6 @ 级别:紧急!!!/ a y S3 A) j6 Q' R5 e% P. a
/ L6 U- |1 [6 u2 k 后果:可导致电信骨干网络堵塞。 1 Y+ K/ c" w# A! }/ s5 Q9 r$ A# Y7 V; h
已经提供:(1)技术分析报告9 f( H' \% u: b! _
1 A I% D) e7 {2 d. }6 P1 v (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供) 0 z, j3 Z& l1 N9 O* @ & p9 x1 e% x1 R 网络惊现“冲击波杀手”网络蠕虫6 x( |6 v' ^7 I) G- h! N
8 e4 M0 D2 s: _8 f6 s( A# |7 v
病毒名称:I-Worm/Chian ( M, l- ^! i% w/ R& t9 F # H4 t3 t3 A; o( g7 r' Q$ k+ V 病毒长度:10240字节 * o! j& d& {& j6 I% M 9 N4 E. x: \( L6 d( A 截获的文件名称:dllhost.exe 8 Z* A) E0 P) @+ g* p9 D i' p1 ?4 R - C0 c1 r1 s- | 感染系统:Windows XP,Windows 2000 ' N0 U# R! P9 Y8 \! R: g1 F# G* D5 A$ A3 k! p& m
传播途径:利用微软的多重漏洞:, D6 X" @ |8 ?4 J0 A6 k% ^
! F8 I3 v# Y4 }5 @5 T7 \ (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞 2 a3 S* p; R( q3 C; J . n/ A: H6 C8 P# s( t 攻击的系统是Windows XP;, q; N5 A9 s) S, z- v
/ Y- @- O C+ A% e/ F5 i2 S3 T; u
(2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。 , u" W6 X7 Y g7 ] p1 }8 m" R, c0 f6 q5 p% X6 r, [7 W7 h9 U
和“冲击波病毒I-Worm/Blaster”的关系: % p X$ {9 e8 ]! M* t D r0 D, g" Z, h; i8 R# y1 a
从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,& g: e7 ~ F, g; e/ Z; L
7 B: u: O/ ?* h) k% T$ v8 R* w' e/ k
接着重新启动计算机。' C: M6 N; j+ s4 n$ ~2 q
8 t5 l3 x. E6 p+ m2 Z4 K
感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。 ; ?; o0 d6 S. ~! y {; D! k' K5 K- e. D# t% |! f7 X
症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe) I9 c, H3 J8 h# H, c! y8 @8 w" m
w( J I$ i7 j& z
后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。 1 h' c5 H) Q3 ]" ?* R- s& v- r! T c: A: p) z2 l- N4 X
2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe . / B4 S- c- I5 C ! d/ Z' ^5 y9 W6 E 影响的端口:TCP 135,TCP 80. 9 k3 L3 I+ q2 |* \1 n; `) P: X9 G7 n
病毒具体特征:. h- D- m. @! s% a+ v9 [
b! n4 t! a" x- N2 n 当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。/ Y! L0 j; k2 o: ?9 D
4 f3 M; ~9 a; U9 s
病毒文字特征:8 J# D0 n0 o9 y5 ?
4 d9 Q- j8 C* s4 v 该病毒体内保存字符串:' Z) y8 a- ^, J+ H. n
' a/ {% W2 |6 n! y$ L% f ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~======== 1 y/ C% q5 i- C# q( r, w; p' x: v; h
大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。 + O: S y+ r; X. V* b6 i0 h6 b& D: j3 }( J' |9 X- U" I) _% n
同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe= ' O1 r! W: |# j ^5 V9 I/ I: D( o3 c7 k, f# X" N) S$ N( U
江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。3 F; y# K7 u( J/ `$ e
/1 
IP卡
狗仔卡
发表于 2004-5-2 12:19:00
~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2004-5-2 12:32:00
发表于 2005-5-3 18:46:00
