下沙论坛

标题: 江民科技发布“冲击波杀手”病毒分析报告 [打印本页]

作者: 煎饼    时间: 2004-5-2 12:19
标题: 江民科技发布“冲击波杀手”病毒分析报告
国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。, x3 a1 F5 B, t
/ g/ k% s1 {4 X
  名称:冲击波杀手
, \0 n$ H0 S* o! P  @! }6 i7 d+ s: Q. P: \- E; s, ?+ ~
  级别:紧急!!!
5 |  H( H; b% _) C" H6 E; N  X: Z( v7 S  \5 H' ]# a' b: N
  后果:可导致电信骨干网络堵塞。& v, ~' f* ], G5 m  M
, p, b1 i5 D% m
  已经提供:(1)技术分析报告
  ~* X3 R  s* [: c& e- n( V6 G
7 m& p3 x/ P/ s  V1 s4 {  (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)) S$ _  u9 I6 J( k1 m" y, y
- }1 R$ p5 c! R5 L# j& l
  网络惊现“冲击波杀手”网络蠕虫7 O7 z& [7 ?9 |% P; h
4 b3 n4 z. @: T- P. n
  病毒名称:I-Worm/Chian
  K% J% o& ~' a+ x. N4 e- c6 _! I$ T; N  r9 M1 Z2 E
  病毒长度:10240字节* [/ \% G7 I+ ~  Y/ ]5 {) o
! X$ R* ~* k. U  A
  截获的文件名称:dllhost.exe3 l& r- I8 ~8 l' M

; A5 j, ?/ m6 ?( _( H2 H  感染系统:Windows XP,Windows 20000 m0 y& ]5 ~$ r
5 X5 _, J7 M, `. e- e+ S
  传播途径:利用微软的多重漏洞:
1 @% g$ o5 N+ D; z
! T  o( @- _3 @$ }  (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞( l, _$ Z" s3 l1 f7 C. f/ p
0 o8 h+ n$ v' r0 |2 O6 [" U9 g
  攻击的系统是Windows XP;
: h' B: L, N1 R8 ~
; L8 u! a9 @# l2 @# H# H  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。. B  p* }2 t- J9 e+ s

& v5 o2 y5 e7 T3 C  和“冲击波病毒I-Worm/Blaster”的关系:
: s3 b: P: x* A# T8 W3 m9 Y
- e% ~( t) w( n( r* o  从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,3 E9 H8 f% B  i$ n4 y/ F9 S5 r
9 E" l; v/ M# I/ {" }. I
  接着重新启动计算机。
8 V$ G4 K. Z: l$ Y( `6 D) Z% {- E6 D, h' @! @# J# C
  感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。
/ f, U! N7 ^) d% J8 D# |/ F2 I
  A$ m: S9 v# i  症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe
/ T3 c: @* ]4 ?$ b9 `- M4 f- _' l" F. O5 B7 U8 G
  后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
+ E5 l; Y# v: q2 b6 x6 _' r1 f. j
' J) k# i5 L1 j" V. S! b' k1 x4 y  2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .
- t. M( V/ B" _2 i0 v
; x# l% ]9 Q2 N. A  影响的端口:TCP 135,TCP 80.
1 k$ \3 N+ Q& ?0 |, ~5 [. g' G8 r( q6 c' Q; S
  病毒具体特征:
: ]+ t3 _6 I0 y5 H1 D. N% N, Y. _/ Y
  当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。2 e' J% U( d/ F7 l- F4 V+ k7 Z
# E& {7 _7 P5 {9 d6 Y4 F
  病毒文字特征:  v. y8 W1 O0 ^4 u! ]& J
$ m: C) H3 {! ~$ k  ]2 l/ @. P
  该病毒体内保存字符串:
4 u4 {7 g2 V: H+ D( m5 ^9 l
/ J" `4 J  N# n9 s. j+ t  ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========( V' u, d( v# H  }5 |

& [; p& ~" u. j  大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
: Z2 c0 [; x$ V5 Y% E
7 @3 E& @: j, n  j  同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
) n" x1 u- V0 G! m! x' e. D1 b$ H0 P
  江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。! q$ L  P& P4 Y% U! U

作者: 考拉    时间: 2004-5-2 12:32
135和80?那不是关端口没用啊?
2 X! V7 h$ }- E7 _7 W( x
: ]$ w8 P2 A& U还是用98好……
作者: 語過ャ添情    时间: 2005-5-3 18:46

煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!






欢迎光临 下沙论坛 (http://bbs.xiasha.cn/) Powered by Discuz! X3.3