下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2193|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
  • TA的每日心情
    奋斗
    半小时前
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。
    $ D, y* J2 C6 D) F  ?8 t; W7 w& p; C; n7 M. h! p2 Z
      名称:冲击波杀手. @, h! c2 T, h
    4 k$ g4 M* T0 D* W5 J/ b
      级别:紧急!!!2 ~" n8 y6 k0 f2 {  K8 |/ Y$ K* M6 W

    $ l3 w- K, N# P5 z  后果:可导致电信骨干网络堵塞。
    2 n0 z$ I/ {; ~+ K& x' i2 E; U( l/ p7 B, G8 D
      已经提供:(1)技术分析报告
    ) i. R! o# w" J. {7 ], G- o
    8 s) i8 m: H8 U& {) ]" q9 y  (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)
    4 ^8 L7 B1 z# m7 d% A$ p7 p4 B
    ; ?) M* R/ d+ [$ d& P  网络惊现“冲击波杀手”网络蠕虫
    6 W" j+ Q% n* ~* F3 \" j9 o# y- h7 j
    ) n: s, \  p4 l% Y7 [  病毒名称:I-Worm/Chian$ l# i! q1 a' s* d

    1 c0 D* M9 I' E6 E4 y  病毒长度:10240字节
    7 J  V, J5 j6 O
    0 Y9 N- a. v7 I' v+ r( Z1 V. j5 K. d- s  截获的文件名称:dllhost.exe
    9 x! @& v( e" X; G* z+ H) J5 J: d. i  N. Q: e2 v0 k$ Z: m* z
      感染系统:Windows XP,Windows 2000! m- e* o; O) Q
    " _. L. W- l0 G/ Z" w4 s
      传播途径:利用微软的多重漏洞:
    ( B# \8 }. B  S; Q) C
    ; w4 ]& [' n; e. Z# `( n  (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞+ `7 l+ l% h1 Z. G& h/ ]& C# e4 T
    8 C) J7 H: o; F9 B$ O" R, S- f
      攻击的系统是Windows XP;# H' R6 q! s( u4 c7 T' z5 D

    8 _: m2 T% G9 L+ C' `: h  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
    / i; U. Q( l/ i$ j/ `
    * A; q: H1 V: [' X/ A  和“冲击波病毒I-Worm/Blaster”的关系:
    + G/ ]/ c( g+ G
    / F9 [: c5 Z9 n& D  从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,2 \, k$ c" q' h) |+ y
    , F: _6 ~( D5 L) ]% o6 T3 i
      接着重新启动计算机。
      q/ G' f$ d) Y; s' I0 b0 r5 W: A% i  c8 N  e- I% y
      感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。
    0 p- p0 S) ]' E, j! L( _( w; d8 o
    ) M7 f+ s1 K: h: X# w  m! @$ p& K' R  症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe5 n+ A: l5 ^' c3 U' I

    ; @7 Z3 @" m4 @. g  后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。* C1 B) y3 Z7 a: A& n7 w9 I

    & m5 @. A9 q, O0 _3 q( N  2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .5 h: E2 _* [( |

    $ ^3 E1 q  a$ C+ O' T: n4 g  影响的端口:TCP 135,TCP 80.1 y/ w) X; D3 d6 }# n, h0 w, q

    ! p9 S8 x& S' z! o! i/ Y  病毒具体特征:; w$ E3 M; V6 [- E1 G1 O1 e0 H

    1 y" G; h$ _& n0 |  当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。4 Z  x- Q  R* O9 L# y: B
    0 y! W, K- v5 R4 ]1 k0 r$ N
      病毒文字特征:# f- ^4 H( ~  ^' R

    1 l* H; J) x1 V% ?7 i. `, B  该病毒体内保存字符串:
    + l/ K8 t( \- S! I  L3 N
    5 E7 n8 u: t3 r  ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
    8 l- Y- P* _. j# n; w) Q8 G4 _" X5 ^6 q7 h4 ~7 D( l+ k
      大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
    " `7 M2 A" ]& w% Y- `% y# \  P
    3 Y/ h# @( b/ }1 n  同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=9 j  v  q% d# S' X
    ' ]% Q" V* k+ y- w% ?2 o2 N
      江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。! Y0 D# b2 o6 k: u/ m7 C! a
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    该用户从未签到

    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?# R+ L: V7 g/ A6 T  ]3 G6 \
    ( T3 r+ W7 V$ k- w& n% `
    还是用98好……

    该用户从未签到

    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表