设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

 下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 江民科技发布“冲击波杀手”病毒分析报告
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 2204|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
煎饼
  • TA的每日心情
    奋斗
    前天 11:21

    • 签到天数: 2393 天

    [LV.Master]伴坛终老
    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。
    - v/ {' n( }& r; L- c
    2 J6 B+ q6 d# T4 ?7 N* O  名称:冲击波杀手
    7 h+ @2 d6 Y( l0 ?  u! T8 q7 t5 D0 s2 f4 k! M+ R6 G& z
      级别:紧急!!!
    3 v, x0 l, L- b* _7 l$ ]1 ]- P4 e8 K2 s8 t3 A+ ]( ?
      后果:可导致电信骨干网络堵塞。. W/ l2 _- Q5 Z' I& @" {' v
    , \" O+ M/ w: E/ m) u
      已经提供:(1)技术分析报告
    - b8 `7 r  [" |0 q" J; r3 \. P% B/ f" E% ~& a0 P# [6 c) c" P& L
      (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)
    * n5 Q" a0 Q3 N: e# Z+ d
    % t0 H8 P/ Q2 Q, B  网络惊现“冲击波杀手”网络蠕虫& v  @" b, E. t% x

    , N% d9 l) ^5 @5 _4 Q; l  病毒名称:I-Worm/Chian' h, @2 [, u  Q' a! ?6 C" p

    ! J2 E0 [) Y( C' R5 z  病毒长度:10240字节
    # I, |+ P; u5 C) _' \4 n' r# u& C7 F$ F) ~; ]7 |- x8 e
      截获的文件名称:dllhost.exe1 F0 P  e: l9 Q3 E7 r1 ?4 U, M

    2 t; }1 `8 I; d2 P3 W+ x( }  感染系统:Windows XP,Windows 2000
    0 t6 l7 a1 S. n( d
    2 J8 `# K, w5 W  j1 ~) \, e0 P( U8 ]  传播途径:利用微软的多重漏洞:2 U( i( L7 |6 R. J: f( P4 n9 m

    - N5 C; E, R# m) j6 B6 M  (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞: B, w2 O0 j1 w# m& R9 K9 |

    , r+ `" w6 o7 ~* u* G. x  攻击的系统是Windows XP;
    " e4 I0 K' x. d1 b
    5 M" y5 L% c. t  t& `  t  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
    & {+ w2 [- j. P+ U5 ?( r, o9 \0 j# J% p
      和“冲击波病毒I-Worm/Blaster”的关系:' s: m$ z( f8 s" B

    4 c! r6 [6 c: R7 k3 p  从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,
    ( O* T* s; H( x* N, ?) R+ l/ j
    - o" C- G9 y9 e  接着重新启动计算机。* S1 q! ~% Q) ^+ a6 }+ i( @  V6 b
    1 E3 h( C( T* d! f. z& t
      感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。
    ; Y$ y: D& F9 o8 i  F8 o- R5 X6 q% c# [  K. l" `; R
      症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe
    $ N8 V" B, J% w7 u* b. q/ w" @1 n; H
      后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
    7 x8 p* u5 ]0 Q. L$ P/ B5 h- w' D& ?: U2 m: u
      2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .: a/ |  [3 D) G% k/ y2 Q6 J

    1 k; J4 D$ s3 w: D3 {  影响的端口:TCP 135,TCP 80.- U) ]7 k* z6 u8 b% b4 X* g

    6 V5 b7 Y2 n7 M' q" w# N. Z  病毒具体特征:
    # e+ q+ N- @4 y, D  a7 N8 j+ @% H1 a( t6 H- B0 |1 L$ r4 }
      当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。7 b6 X7 F3 E! Z+ d4 ~; C7 `6 V
    ! k+ [: j+ ~  q0 e! V% p
      病毒文字特征:
    ( d6 q7 x! n: z1 d! Y) V- C4 e. }, s# r6 i9 V8 r! O
      该病毒体内保存字符串:  X: t' b; v4 S+ X5 k

    / ^3 J1 _5 h" Q* l  ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
    * c- ^) `9 ^8 k  ]0 {! a9 S, X9 I9 f/ f4 z! m7 m0 I6 I
      大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。% z; K0 d) n7 P0 \+ N
    4 B2 _# M6 n$ M1 T6 S& e
      同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
    6 E) H$ u1 {* G: r" E# }4 O3 S+ R5 w4 G
      江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。
    ( ^# Y- e7 O% @8 t5 L
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
    回复

    使用道具 举报

    語過ャ添情

    该用户从未签到
    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    回复 支持 反对

    使用道具 举报

    考拉

    该用户从未签到
    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?
    2 v* B/ N" p" R. v
    8 J5 j! o. g, E0 B# S. _还是用98好……
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表