设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

 下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 江民科技发布“冲击波杀手”病毒分析报告
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 2203|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
煎饼
  • TA的每日心情
    奋斗
    昨天 11:21

    • 签到天数: 2393 天

    [LV.Master]伴坛终老
    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。- y$ h" Z  y6 o$ J! m7 I
    * R) ?7 e4 }% x, R
      名称:冲击波杀手
    ) L* F" u, u$ ^- D  p8 x9 _& Y7 e
    3 I1 Q" U$ A* c5 U  级别:紧急!!!
    ! M0 v# s0 N" u- P( f
      O7 d# l( S9 O: t8 _! h) M  后果:可导致电信骨干网络堵塞。$ a) [8 X. p/ Z1 A" a

    $ [% k- S0 Q" z  已经提供:(1)技术分析报告
    , n3 B- g# h' _- C9 @' L* E1 v( D7 I+ d$ P5 j: H: i& @
      (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)0 a& w/ [8 }) W6 e

    7 G4 O$ U& d2 M( n: G3 M1 ?& j2 f4 D  网络惊现“冲击波杀手”网络蠕虫1 G9 }9 L' {+ v6 v
    & ~& w6 y. ^' l1 q4 X
      病毒名称:I-Worm/Chian  }+ u5 e1 h/ D
    2 p! X/ X, f# B0 ^; H
      病毒长度:10240字节
    % B2 }6 G- W6 M  n
    6 t( n( G" [7 j' F  截获的文件名称:dllhost.exe
    * ~# g2 C- }! N3 l% I
    9 q- K" U8 I! r9 T  x7 Z+ d  感染系统:Windows XP,Windows 2000: G2 U  x( p- V) l
    , a: q1 q  H  ]
      传播途径:利用微软的多重漏洞:
    . r; m" Z  K$ _' t' Y' ?+ j( l, r2 ]) U; M8 {
      (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞& r, y8 u/ U! F+ L' T0 b

    5 q) i/ J4 s# N6 B. Z4 v  攻击的系统是Windows XP;5 G3 W& M# T* m

    ! _3 d4 i0 P0 Y( ]+ ^  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。# _! ?9 z  x, D; `: g

    0 m0 n" {" B0 Y! W# e/ ~  和“冲击波病毒I-Worm/Blaster”的关系:$ t0 B0 o6 A- c! {

    * m  Y8 Y, r! i6 j  从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,3 t  N6 h. x3 X7 \( q5 R& z7 T9 n
    2 o, ?2 r& K, B
      接着重新启动计算机。
    ' z# E; J# q$ ?/ y/ R/ \% c3 p+ Y) f, b/ ]6 K7 q
      感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。
    0 {5 y# y  Q" N: o* H2 K$ H5 c) r9 z% B2 I( G) T
      症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe# L) M8 p6 h! ?

    4 N9 s3 i9 ~: u3 k( ]  p  后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
    ! H( w* _" a7 d" e/ t( M7 |) N! Z2 c" Z' }- J
      2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .* r! V6 q" F5 a& a1 S2 B- }
    ( {1 @3 o( Y$ m1 V( W
      影响的端口:TCP 135,TCP 80.
    8 D% U+ s# X  D2 V' r  X
      v4 x, b' k4 u& ?) c  病毒具体特征:; g5 x& f# I) ?9 b, u, L
    . h8 @8 E5 C0 t% b% W) k) t
      当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。
    : D& R) j- c  d
    ) i3 W% z) P' f7 f$ V& Q( z, L  病毒文字特征:
    8 r7 K! o' I+ q5 W% i+ k2 P8 o- X7 I8 n( S) u& X6 r. C
      该病毒体内保存字符串:
    4 w2 g1 n% X: H7 |$ x8 M0 d' X  E; o1 i" ]* e
      ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
    & _* }8 ]+ ?! u7 b+ H7 M2 [! E1 O; G: r& h% {2 N' C" O
      大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
    8 E; @# [) t2 K6 J, v, v- c1 z7 i/ u
      同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
    + c1 w, R, [0 A5 w2 d# H5 w
    4 v7 K/ l4 U1 L, k  江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。
    0 R) G- v* _1 Y" R) ^
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
    回复

    使用道具 举报

    考拉

    该用户从未签到
    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?6 G5 [" M0 U/ S
    , N% v( U. V2 r( F
    还是用98好……
    回复 支持 反对

    使用道具 举报

    語過ャ添情

    该用户从未签到
    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    回复 支持 反对

    使用道具 举报

    返回列表 发新帖

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表