下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2198|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。
    9 r- ?3 J) C: y( N/ G% ~& P3 I5 Z  G8 w" |, a- R
      名称:冲击波杀手1 f0 u9 F' Y  _' d7 D! b1 d1 `
    ) Z) g+ G" f: m: O
      级别:紧急!!!
    6 ^! x" s6 {4 y3 h+ [- f8 _- w+ x) G! x* S+ v8 {' \
      后果:可导致电信骨干网络堵塞。$ o% x+ Q' e& m
    * N! E1 s! s6 M# K( V; f
      已经提供:(1)技术分析报告
    & D$ J6 A6 A& A/ j: F9 k9 o
    ( ?+ ]8 P5 [% V5 Q3 N! y8 l) c2 K  (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)% R3 p8 Y* |4 `! o. B
    ; H% t  c: G& O( O0 I" w7 d6 M7 M
      网络惊现“冲击波杀手”网络蠕虫
    0 F# C6 D5 L  W  b8 D
    & o6 L1 K1 O% ]1 |; {! F. z% s  病毒名称:I-Worm/Chian
    . a  J& ?) K7 F9 K( H1 D
    6 C& I: e8 l( t' p" Q: X, J  病毒长度:10240字节
    4 R7 b" }" g+ f8 K; u% @0 B) |
    / ?9 J8 w: Y; @& }, n" \: h- O  截获的文件名称:dllhost.exe: ~) s9 T/ `4 G0 [  W+ I
    ) g* p, t6 }8 R, t1 Q
      感染系统:Windows XP,Windows 2000
    $ H; E$ Q. u2 _$ T9 K
    & d+ A, E( {( P% e% \6 r+ T  传播途径:利用微软的多重漏洞:
    + h" A5 f5 Q5 x- C, e- X$ o8 }! }0 E
      (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞
    : m. Z2 G. F8 a  {; k$ |% R. c: [
    + h3 A4 m. B$ o8 Z0 W& }  攻击的系统是Windows XP;
    * ~& c$ T" u" k0 T$ E) I1 s2 `! r' F# p. z! P4 N" k' w& t
      (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。" Y& Z6 Y2 T& |# b7 L. e
    ' B6 `0 s" Q: f) K" v) g$ g
      和“冲击波病毒I-Worm/Blaster”的关系:
    : p: z; |1 c; n" m( N3 _1 R+ u* t  i! u$ D& h
      从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,
    4 \) O7 m7 ?5 n8 D9 C) v
    ; z, U0 B6 W9 H  J. x  接着重新启动计算机。
    ' E& I5 x. U* [* T  i. F% x5 g( l2 {$ a# q
    + U/ h- F; s9 v' |/ Q  感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。
    6 D/ V  {/ e( A+ K
    & z: U' n# B4 q) R$ A. d1 l: B4 D- V  症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe4 \2 J& s! l) L" C$ E! ~3 d

    3 B4 `! C  q& J3 T- Q9 Y  后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。7 I/ k& P! P; |: q  y

    ; I0 c& a# U. H, j. `7 N# u  2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .
    ) s# Z/ o4 ]' Y2 ?8 D" M; x. p& g- S/ ?
      影响的端口:TCP 135,TCP 80.
    & R9 D: H5 ?) [$ T/ @5 t- P( [* _* t" ^4 }. i7 P9 w* `1 |
      病毒具体特征:
    2 D- I9 ~* V: x/ n
    . P$ u' c. n( M$ o4 H6 R2 M2 p/ y9 J  当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。% A  P) s  G3 W/ _" l4 c& O9 @
    5 O9 D, ]- _/ B4 z
      病毒文字特征:
    & h0 ]! b7 m+ G, @" z
    . t& Q# f, l2 L5 P1 l8 e3 v  该病毒体内保存字符串:/ ?* L5 `% ~8 y, K

    . c; J& E6 w" e$ j  ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========! w0 Q- f# m4 ]; A2 v6 k" i

    ; E" q, u) h3 I: I6 R5 m, K  大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
    + K: W. v; c7 l! W% D* T# {7 |, x! w" K
      同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=5 D2 k4 M- ~7 e- ?/ @, }
    / c# r; j$ {+ _( b, _$ d7 N0 S
      江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。; F. j# [  [- y# n7 s# p
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    该用户从未签到

    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?  g6 j; T. h, i+ A0 z4 j

    ) i1 s: n6 d& |& y- x3 p6 M4 x还是用98好……

    该用户从未签到

    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表