设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

 下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 江民科技发布“冲击波杀手”病毒分析报告
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 2224|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
煎饼
  • TA的每日心情
    擦汗
    5 天前

    • 签到天数: 2402 天

    [LV.Master]伴坛终老
    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。* U( b* Q8 t" `; ~3 B, j& g

    . q0 \( u+ p) E- g  名称:冲击波杀手9 {' u8 {4 d/ [$ ]6 q

    , Y2 S$ y1 p& p+ ~9 h  级别:紧急!!!
    , H2 A2 h) a+ j4 m. \$ O
    # i4 V3 ]; t/ q: G  后果:可导致电信骨干网络堵塞。
    3 G+ |3 G. F; }* u% L) }/ }8 X+ a3 Z
      已经提供:(1)技术分析报告3 t6 {2 c. W. }/ C; i4 w7 v- v
      h) E3 \. n/ _0 D: U$ r
      (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)( n" k- A& e0 d; z! N

    - V+ K/ s9 [9 o$ P+ J# P$ k0 j8 R  网络惊现“冲击波杀手”网络蠕虫
    8 F$ p9 R, x" F7 U  H; A$ J% X) L3 @8 O/ C* v
      病毒名称:I-Worm/Chian
    ( ^! B+ k4 g3 H
    ' ^! }7 W) }7 M' @. O& B9 G  病毒长度:10240字节
    7 C. s  \3 U" Q. f# p# ]( v/ a
    * S: \7 R0 Q+ B) z( Z7 S  截获的文件名称:dllhost.exe
    % {4 H3 }7 i  J  e8 d0 N; Q7 U* U
    8 U5 E6 W: @4 U# I% A7 l  感染系统:Windows XP,Windows 2000- n5 t3 L6 f" Z$ L
    ; P, w# P4 g% ]  m; e2 a
      传播途径:利用微软的多重漏洞:, d7 _3 T& {) C  ~  @% ~

    - ~, W4 B8 U# f* Z% c  (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞
    1 \* x6 R. r0 \
    6 N7 Q; z1 O" K$ f  攻击的系统是Windows XP;; B( Z) t; ~5 W( I

    0 P8 \8 L% g, Y1 f7 T  `  r  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。7 [5 h( ^6 A) C' a* P& K2 ~" q( m
    7 g( q( P2 M, w6 y9 ]6 \
      和“冲击波病毒I-Worm/Blaster”的关系:
    2 D& f/ A3 ~6 ?: V( ~) ^. a. u$ y. E1 c8 z
      从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,
    / M8 ?# t( H: e) k
    . j+ b9 C' Z& _5 J  接着重新启动计算机。/ K2 S7 a( A- k% P6 U0 {6 M

    # m* {) h4 \8 \  感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。3 L) r1 `; j2 E+ k/ P: Y

    / ?. j5 m# h5 ?# P  症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe
    / O- M& E: y  U* D% {6 F& m  D, }! D
    5 D" u& q1 w% i. ~/ d0 E, W4 q  Z8 [  后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。: N+ b9 B' |4 ]6 @& G1 g
    5 k+ J7 @$ k# T! v! D
      2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .. }. H, n, V+ z; A* m. W

    / K/ n+ t9 B6 _8 m  影响的端口:TCP 135,TCP 80.: Q* m; X& \' [! v6 \9 E7 Y* V6 N/ X8 e
    9 E6 Q) H4 ~: |4 w! U1 v- H
      病毒具体特征:
    0 g" v5 n( d* O! s
    1 b( B! C6 H5 B; B# M  当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。- x2 \3 s# f' e1 g2 u

    , p' @* ]4 D6 ~  |% N7 o; L  病毒文字特征:! ~5 z5 S4 S' X

    # {$ N3 M. n+ l: p2 Y1 K  该病毒体内保存字符串:" v1 T7 K$ S, L

    , x! Y" [3 @" ~: _! B  r  ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========, X5 t9 i5 @* Q' A: k/ X

    0 s  b" F5 p4 b6 c! p, R  大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
    . y1 h8 G1 ]3 l7 p' f3 W/ |
    - k; i; J& F3 M" M/ c  同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
    7 E2 N& o6 w6 q8 S% d# n! D  \3 ?1 R' S
      江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。
    * ^& d  \. O4 L
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
    回复

    使用道具 举报

    考拉

    该用户从未签到
    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?( m% h7 E. a* c. f% R( c5 \

    - d1 E+ r/ a0 t, Z6 `( q" H( B还是用98好……
    回复 支持 反对

    使用道具 举报

    語過ャ添情

    该用户从未签到
    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    回复 支持 反对

    使用道具 举报

    返回列表 发新帖

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表