江民科技发布“冲击波杀手”病毒分析报告

煎饼

国内领先的信息安全服务提供商江民科技（KV）于8月18日截获“冲击波杀手”病毒，并于当日发布了升级补丁。现公布该病毒分析报告，以供更多同行参考。

　　名称：冲击波杀手

　　级别：紧急！！！

　　后果：可导致电信骨干网络堵塞。
. ^3 u" a  |7 ]  Z$ v: W
　　已经提供：（1）技术分析报告

　　（2）补丁集合（直接放在KV2004的正版盘，下次刻盘提供）

+ v/ y" s4 R, t; l$ h; f+ |　　网络惊现“冲击波杀手”网络蠕虫
* B* C/ h: T/ P8 e9 C: Q
　　病毒名称：I-Worm/Chian
) A4 r3 v, B+ y1 i3 y! ~( N
! S+ u6 q1 `" \! ?: @/ A* Z' ]8 o　　病毒长度：10240字节

　　截获的文件名称：dllhost.exe
. W9 U# |% Y; }
6 \; s2 |( c2 r7 D& f　　感染系统：Windows XP,Windows 2000
0 l/ k+ N3 ]) j& N# M
6 N' [' g2 h4 g6 I! H8 R5 ~/ w　　传播途径：利用微软的多重漏洞：

　　(1)利用“冲击波网络蠕虫漏洞”：利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026，“冲击波杀手”针对该漏洞
3 n6 Q2 j8 I; d* C! a8 s
　　攻击的系统是Windows XP;

　　(2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞，攻击的对象是开放了浏览端口WEB（80)的运行微软IIS5.0的机器。
% J9 o( j# `; w* _% |
　　和“冲击波病毒I-Worm/Blaster”的关系：
( q9 {* P& q  D4 z7 s/ X& a
, L4 q! m$ H: E! `　　从微软的网站自动下载DCOM RPC漏洞，并安装该漏洞，同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器，试图删除冲击波病毒，
( ~# v" r1 F$ U7 S/ c6 A
　　接着重新启动计算机。
4 a6 n2 {2 ^* @& p& h- y
. L; n2 C/ ]0 |　　感染方式：发送ICMP响应信号，或者发送PING命令来感染互连网上存在病毒的机器。

　　症状文件：删除“冲击波I-Worm/Blaster”，删除主文件msblast.exe
; [( T+ {1 t, w+ {$ ~; ^. d
　　后果：1)导致系统不稳定运行：由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定，重新启动、死机等。

0 R! o- R4 S1 s+ q4 q" G　　2)在所有感染机器上安装一个FTP服务端：文件大小是19728字节，文件名称：svchost.exe .
' K9 z( q/ {) {) {
% k6 _6 I1 n  p　　影响的端口：TCP 135,TCP 80.

8 e9 ?+ L; j7 j　　病毒具体特征：

　　当该网络蠕虫被运行后，将自身拷贝到WINDOWS系统目录下，并建立一个目录Wins，以文件名称Dllhost.exe存放。

' c% u0 S4 _, t. ~　　病毒文字特征：
) d. j2 {7 B9 V. r
5 k1 c; U. J9 \5 H) l4 H4 q　　该病毒体内保存字符串：
+ S) o: ]' W' d7 s
　　============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========

3 i. O) Q1 a4 r) q$ ]0 A- \　　大致的中文意思：我爱我的妻子和宝贝，欢迎Chian(病毒名称由此而来），注意：2004年自己将自动删除。

　　同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
  h; x5 d2 [) H- J
　　江民KV杀毒软件用户无须任何专杀工具或手动清除措施，只需要升级一下病毒库即可查杀。

考拉

135和80？那不是关端口没用啊？

- Z2 W5 J5 m- H$ O6 o2 W. k还是用98好……

語過ャ添情

煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!