下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2195|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
  • TA的每日心情
    奋斗
    半小时前
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。) ?" ]. P# Q, N& H6 }5 X1 ^- X5 V

    9 O! C+ H7 |+ ?4 [1 q  名称:冲击波杀手- n3 |+ j6 u0 C$ T1 b) S+ q

    & ^: ]& ~5 n" @5 r, ^  级别:紧急!!!
    # f% u4 s* ?/ W0 {- k6 @# g; h
    ' s$ ^0 e6 _% `* z; W  后果:可导致电信骨干网络堵塞。
    0 i0 h; a7 r* K) _+ f/ j" H% C, i7 F3 [0 j- R: e
      已经提供:(1)技术分析报告
    ( W1 w! b" o$ V+ G) w: I+ P# e% x/ A) r# Z* i' B. L
      (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)" G* n& s4 }8 A+ L3 z. _
    & |0 b+ _) O. I
      网络惊现“冲击波杀手”网络蠕虫1 p! n5 Z6 `9 ~

    + Y& T6 \$ Y0 t7 P, D, _: S# Z' w( y  病毒名称:I-Worm/Chian. R3 y3 Z9 ?: s$ O5 l' m* O/ I
      M! M8 Q' t5 ^; g. _2 w1 f( K3 r
      病毒长度:10240字节) v- d! {7 v, [& n8 \9 {. z' c
    0 w/ ~  I; T+ C& Q! P+ w/ F) S
      截获的文件名称:dllhost.exe
    ( |& ^  [6 V* l! n2 x1 {% i' Z$ Q& Q& d2 ]! B. b, E0 D
      感染系统:Windows XP,Windows 20005 Q: L. `- D) Q" m

    ' S& x! y" e4 z1 m  传播途径:利用微软的多重漏洞:5 K8 d; R. K) i7 Q: N
    4 H  n7 F# H9 P1 D. w$ [" I
      (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞
    , v3 ^  u" y2 H+ a' k, W7 s7 p* h3 b" e+ _
      攻击的系统是Windows XP;; j/ h+ z% U- {3 Y2 S

    ' r: Y+ Z! v% M  w! {/ V2 S, y8 B" H  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
    2 L7 R+ `7 m  y( |$ g7 C5 R4 E. x( x/ E, X9 t
      和“冲击波病毒I-Worm/Blaster”的关系:
    $ k/ V+ I7 Y7 m
    & \4 Z$ b) Y$ i6 D, m  |7 S  从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,
    ( t8 j; B7 i& ^) @6 t" ~
    + r6 a, T% `4 k" _, r* k  接着重新启动计算机。
    4 L3 X; l8 [# R4 `% q  y  U# h1 v4 |
    " W+ u- b" @3 G  感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。* \' P& j  [/ l8 S8 ~7 z( U5 a

    / ]% Z/ g7 ~9 o8 ~  症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe" z/ x9 J( g# {" [
    , u2 i1 E* B' T3 i- y# H+ I
      后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
    $ |* I0 d& n2 t; R" g/ V: q2 S# I) }  a0 t4 V$ l' M
      2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .1 Q7 I" e) F2 z$ X8 \2 `$ q8 _
    9 N4 o( z2 \9 {" U
      影响的端口:TCP 135,TCP 80.
    ' _% ?; ^/ J1 n4 `! v. u4 U( |4 D* I! _
      病毒具体特征:; Y  V2 i& {4 [. }4 L+ C* i8 m
    * E6 A; {+ v) N: ~5 v. O( J  |
      当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。) a( A' d' l* f8 J( l9 t' D
    , l% V+ a; b' v! S4 K0 \  y
      病毒文字特征:
    " b0 S+ a: ]% I2 y8 P; Z# N1 v" D5 I) G0 B* ~$ e' g+ \- x* g0 l8 d9 [
      该病毒体内保存字符串:) D7 y3 v. G% E0 \' V( N/ E7 [& D
    ; U' |9 P6 l! L/ {
      ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
    9 M5 U) j) ]8 G4 ^1 k
    # |' s  v. S1 N) D  大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
    2 X; ^( D, U, b* w1 ^. r$ v, m  k$ ?0 z
      同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
    ; `! w3 [5 `9 I5 v1 A1 M0 b8 g0 W  ~; r- N7 R. t1 a
      江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。
    * c1 z3 A9 O! h( `2 d
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    该用户从未签到

    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?- H4 w7 p1 A8 q: P' b6 w
    1 F, ^( }3 D, r- I/ Z
    还是用98好……

    该用户从未签到

    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表