江民科技发布“冲击波杀手”病毒分析报告

煎饼

国内领先的信息安全服务提供商江民科技（KV）于8月18日截获“冲击波杀手”病毒，并于当日发布了升级补丁。现公布该病毒分析报告，以供更多同行参考。

5 T0 S* k4 l) c+ c0 b2 |3 r　　名称：冲击波杀手

　　级别：紧急！！！
9 a% q1 l% M, r) a: o8 N- x
; o% n; m  @* {6 n6 Y+ D　　后果：可导致电信骨干网络堵塞。

　　已经提供：（1）技术分析报告
, _6 ~: M" M" t* T+ ?. R
　　（2）补丁集合（直接放在KV2004的正版盘，下次刻盘提供）
7 g7 y# E2 D5 t
　　网络惊现“冲击波杀手”网络蠕虫

6 A' O7 O$ `) l! U  \　　病毒名称：I-Worm/Chian

+ b4 S3 b6 n0 d　　病毒长度：10240字节
1 O% e$ d+ t! T3 g1 z5 Q
: Z+ O! S6 h4 W2 O% f1 b0 n5 K2 J% z　　截获的文件名称：dllhost.exe

　　感染系统：Windows XP,Windows 2000

　　传播途径：利用微软的多重漏洞：
& N/ B0 c* p$ ~9 m0 d6 G0 l
　　(1)利用“冲击波网络蠕虫漏洞”：利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026，“冲击波杀手”针对该漏洞
% M7 e4 |6 ^+ k& c2 d' r7 v1 [$ c
　　攻击的系统是Windows XP;

. M  A9 D+ ]4 F# u: c　　(2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞，攻击的对象是开放了浏览端口WEB（80)的运行微软IIS5.0的机器。

　　和“冲击波病毒I-Worm/Blaster”的关系：

　　从微软的网站自动下载DCOM RPC漏洞，并安装该漏洞，同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器，试图删除冲击波病毒，

/ }0 ^+ S1 i1 O/ c1 m7 [9 A　　接着重新启动计算机。
0 [! P5 N' u4 f. d: F) |
# h. ~) W+ o: l　　感染方式：发送ICMP响应信号，或者发送PING命令来感染互连网上存在病毒的机器。
# l+ p- S4 B. R2 l! M# U
　　症状文件：删除“冲击波I-Worm/Blaster”，删除主文件msblast.exe

　　后果：1)导致系统不稳定运行：由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定，重新启动、死机等。

　　2)在所有感染机器上安装一个FTP服务端：文件大小是19728字节，文件名称：svchost.exe .
6 M3 n- N* B" @: Z
6 O3 [7 T. Q! J+ |/ [　　影响的端口：TCP 135,TCP 80.
2 h; y& q4 V2 q' N: V
$ e. `$ H/ i( O( \　　病毒具体特征：
8 `, ^- \5 Y& U. G: m
9 C' }, e/ }% u　　当该网络蠕虫被运行后，将自身拷贝到WINDOWS系统目录下，并建立一个目录Wins，以文件名称Dllhost.exe存放。
$ X# N0 z, k' e
* a  D' K1 O" Z+ O2 ^　　病毒文字特征：

$ F" k' l5 C3 G8 K/ @　　该病毒体内保存字符串：

8 S8 g: P8 G( _5 R+ q　　============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========

) f# o: Q  R! Z  @6 o　　大致的中文意思：我爱我的妻子和宝贝，欢迎Chian(病毒名称由此而来），注意：2004年自己将自动删除。

　　同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
1 M; z9 b; n  C' _) \' H+ F' k
+ q2 l& w& d; B& H1 a1 M　　江民KV杀毒软件用户无须任何专杀工具或手动清除措施，只需要升级一下病毒库即可查杀。
6 f5 p0 X' H8 Z4 }; ?" A- ]/ _

考拉

135和80？那不是关端口没用啊？

还是用98好……

語過ャ添情

煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!