下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2200|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
  • TA的每日心情
    奋斗
    昨天 10:07
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。
    5 a/ t) o# t2 v$ u- X3 [  p! ]7 C! n
    9 }5 _8 S! n" S( O' @  @2 O# A' m  a  名称:冲击波杀手
    2 _* O3 ?( M( G% z
    + p- N- _7 s0 c( C  ^( u  级别:紧急!!!
    9 q+ t& a! j, R; y5 h& G
    ! c. e7 O2 T0 ^8 u& `: C  后果:可导致电信骨干网络堵塞。9 W! }, b6 @; e: ]" I
    ' C. W7 i/ Y0 K  ?4 k
      已经提供:(1)技术分析报告5 u+ L( [: i( o8 [! G$ O

    , |; b) W+ o2 g( M7 ^  (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)  Q5 D1 c( ^; N3 x. V* d, a

    2 }% T4 {3 y, W# D) ]  n; k( {  网络惊现“冲击波杀手”网络蠕虫5 d' K* p5 o- {% S( B& {
    ' M  u/ |4 g6 Z( T9 b2 V
      病毒名称:I-Worm/Chian) Z6 x; S# k. M+ e- e8 p" d3 M

    3 j. t; u1 i/ a' G  病毒长度:10240字节
    ! o9 j" A2 x2 X) T1 }. v( n7 o2 a( C$ u. j! D
      截获的文件名称:dllhost.exe) [0 E4 s8 D' e1 N1 U. q# `. Y
      |% \* ]3 r6 ]) |& t0 K' }
      感染系统:Windows XP,Windows 2000
    ; ?) b# m& N: C$ b7 J2 |4 q) [1 M3 m  H0 {; b! ?( h: q! b
      传播途径:利用微软的多重漏洞:
    ( \3 n" \  A$ N8 T( Q7 q- i; @6 \* g3 r' k2 g$ j, j$ u% c3 r
      (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞9 g9 {5 l; ~/ N/ I

    : x% X2 i$ k0 P( u5 D) F9 O6 s  攻击的系统是Windows XP;- \5 D' K* k# `. ^# A$ Z, A

    0 [/ H' K+ r( P# s/ k  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
    : v$ M4 t& h& y* V0 `
      c7 d. b) x: {/ g; X9 U' S& j) Q  和“冲击波病毒I-Worm/Blaster”的关系:2 A. O2 z* Z8 W' D6 B* B, R

    - [; K% V0 |" f9 j% f  从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒," F- {. q) }8 P
    $ i( q' h9 X3 C' M8 n* ]' k
      接着重新启动计算机。
    9 p3 e% s* v: w" s% }
    8 b) |5 v4 `# S  感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。0 ]( B" l# J  L. n# t

    * N3 q0 x- O% p7 B+ @  k) N  症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe
    + X7 f4 Y* p. s0 n- s3 y" q7 k! r. p1 e- `
      后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。# y) @1 o) r6 {- X! M- }+ F

    : h% O& W0 ~9 k+ q  2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .( T0 ?" z. l1 o* M& k0 \0 B2 e9 ?
    5 }, B# t. R6 O, |
      影响的端口:TCP 135,TCP 80.6 P: s! W9 H. s% u3 k

    0 c% h8 n+ y9 ?2 P5 q/ b5 t9 p5 q  病毒具体特征:. ~& ]! Q$ j7 W9 x/ g
    2 q2 X5 Y6 T8 e5 _
      当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。9 T8 B$ |- \6 B' R+ I

    % k8 Z, S2 ]% z7 V7 i  病毒文字特征:
    # }( x/ [  f7 g+ s# [9 N3 b1 i  n( G5 c# e% d
      该病毒体内保存字符串:
    ' q& m/ F0 {) o7 ]; t: A- m( G, D+ a% W4 Y  x( U4 d
      ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========4 E: e8 ^' d, C

    $ R9 o! T+ d6 B6 g  大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
    + o; R8 n3 T/ M7 g2 R! m: Y0 x/ b6 D# ]' r% }" @
      同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
    ) \! Y0 _! F. x2 G2 l9 C7 m
    ( A& o  r; }+ y1 {9 Q/ V  江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。6 j; E, e+ i& O8 p+ |$ h; Z9 C
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    该用户从未签到

    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?
    # E; W. ]5 J! B  {5 B) b) s% z4 x: b, i) k3 i  w/ w
    还是用98好……

    该用户从未签到

    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表