江民科技发布“冲击波杀手”病毒分析报告
国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。名称:冲击波杀手
级别:紧急!!!
后果:可导致电信骨干网络堵塞。
已经提供:(1)技术分析报告
(2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)
网络惊现“冲击波杀手”网络蠕虫
病毒名称:I-Worm/Chian
病毒长度:10240字节
截获的文件名称:dllhost.exe
感染系统:Windows XP,Windows 2000
传播途径:利用微软的多重漏洞:
(1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞
攻击的系统是Windows XP;
(2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
和“冲击波病毒I-Worm/Blaster”的关系:
从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,
接着重新启动计算机。
感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。
症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe
后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .
影响的端口:TCP 135,TCP 80.
病毒具体特征:
当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。
病毒文字特征:
该病毒体内保存字符串:
============I love my wife & baby :) ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself:)~~ sorry zhongli~~~========
大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。
135和80?那不是关端口没用啊?
还是用98好…… <P>煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!</P>
页:
[1]