下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2197|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。9 I/ p" q7 O( ?2 x: R

    5 A% u$ `6 l# R4 i, e/ P  名称:冲击波杀手1 r! S+ R: U: e

    , W  J/ n  b# J  级别:紧急!!!
    6 N% X; z7 F- q! }) u$ U- O0 F$ H& P) ]' ~/ z
      后果:可导致电信骨干网络堵塞。2 z; s. R' L% W0 Q' e+ b) L

    0 P# L& v* B3 K9 }; I  已经提供:(1)技术分析报告
    ' K3 j8 y. e" Q: E( H, c" [" @4 J+ Y1 t6 i) ]) r0 b* W+ U9 |
      (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)
    1 U1 `; y+ y3 y7 L& I  E( G+ A7 P9 g2 ?- C" U! J' j) b* I3 T
      网络惊现“冲击波杀手”网络蠕虫
    5 e4 o3 o5 z  {; D" w  k: E0 ]1 x  W8 [) |" R# \9 ]5 {8 r7 h0 w6 k
      病毒名称:I-Worm/Chian
    ' W+ ~; {! f# z5 V6 `! T4 u5 H5 O
    9 X5 h( y& J+ q- ?$ n  病毒长度:10240字节
    ) F1 N  z8 H) |% @- D
    , G7 M0 F. ~$ `: ~" J0 [  截获的文件名称:dllhost.exe
      a1 V3 C. W) p# X* k. P
    % v) V: @/ V7 I: X$ O0 O  x7 u  \  感染系统:Windows XP,Windows 20003 [/ E) G  C# e* b5 y/ F

    ! a, a$ v2 @0 H' D7 ~- q& I) @  传播途径:利用微软的多重漏洞:5 n1 P7 b8 h3 c; Q! |/ S( ^% `
    2 d6 H# r& e. C, x; I
      (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞: W8 ?" H; e; `( L5 `  x. s

    ' S* x9 \- e$ i7 S  攻击的系统是Windows XP;8 k0 N/ D3 f, Y: M( d8 f

    " ?+ i( V% v4 k% K' A9 F( p  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
    # S# C: ^& I( j4 b1 `7 D3 Y; I) x7 X* D' d* b6 V4 V
      和“冲击波病毒I-Worm/Blaster”的关系:, `  `0 v2 k- M' t2 Z
    & g+ i! C7 K: |4 \# b4 Y4 ]
      从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,. ~2 O1 `9 H* U! l
    $ B, m! J3 o9 z! P$ U( W) Z
      接着重新启动计算机。
    2 ^2 k) a6 \: p; L  U  i% \0 \$ k3 ]" t+ |1 N1 m% l$ P2 p
      感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。' j' p3 B* i+ s/ R' R# H' S4 M
    " Z: e9 V' ?/ ]5 z0 ]* Y4 |
      症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe
    8 n6 C, ]2 b  O. k- P! m3 }' e" }! o- \6 l4 w4 v( l6 `
      后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。+ ~' Y7 }. i+ a' ]& L
    ' {) Y* B/ t( _) Q: s
      2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .
    3 k( S: B8 O* R8 g  l. C; w8 k' i, J# q
    + ~5 j6 O, h; q4 P  ?4 `% h4 l  影响的端口:TCP 135,TCP 80.7 _! u' C$ w' c( D5 N8 j5 }

    + S/ G! {& v2 T0 Q/ k  病毒具体特征:* u. N2 }' P5 s* N+ T( l" \# ?" h
    . w/ a4 C: c# U) H8 o
      当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。
    . s5 s& Q( E9 D3 V5 w7 I3 J0 v
      病毒文字特征:2 e8 b4 A9 U: h5 {
    0 x3 x. a8 c& F' c3 Q: t, S
      该病毒体内保存字符串:
    ; h& m1 b/ p2 Z; h7 ~+ P* Z- z/ J* v
    ! d% q' u  b3 F! f4 }$ K) f' [  ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
    2 n# g& L+ P( ]
    1 K% d) [  ?# R. `9 C  大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。. G0 Q5 w- u" f8 ^+ k# [. `
    % S9 k+ D) T5 y. r  n7 ^3 F, P
      同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=* ]) V6 A8 ]  t2 A

    ! ~  O$ k2 l" `1 r9 J) d% I/ D" ]  江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。
    - A6 v# L: y5 e
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    该用户从未签到

    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?
    0 P% i% h/ m; I2 M
      x4 t' f* s! M( ^还是用98好……

    该用户从未签到

    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表