设为首页收藏本站
开启辅助访问

下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

 下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
下沙论坛»下沙论坛 ╃摩登&时代╃ 科技.电脑网络 江民科技发布“冲击波杀手”病毒分析报告
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
返回列表 发新帖
查看: 2208|回复: 2
打印 上一主题 下一主题

江民科技发布“冲击波杀手”病毒分析报告

[复制链接]
煎饼
  • TA的每日心情
    擦汗
    昨天 09:14

    • 签到天数: 2395 天

    [LV.Master]伴坛终老
    跳转到指定楼层
    1
    发表于 2004-5-2 12:19:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒,并于当日发布了升级补丁。现公布该病毒分析报告,以供更多同行参考。. ]0 Z' b5 N7 }$ [

    3 V, e- O" V3 l# A" I  名称:冲击波杀手
    0 Z" d. q0 Q2 A6 ~4 n# T
    ( ]4 K  Z  F' v0 ?" i  级别:紧急!!!  l2 T7 V6 n; Y2 q6 [( g

    ! A+ R& ^3 P! H/ g+ n( o# b$ g( `$ h0 P$ G  后果:可导致电信骨干网络堵塞。+ u6 k6 X  ^8 ?8 y" T
    : v$ f/ j% c- Q- U
      已经提供:(1)技术分析报告, G0 Q: a7 V) |0 M, w
    5 c" A( r! f" Y
      (2)补丁集合(直接放在KV2004的正版盘,下次刻盘提供)% E: ^' j6 o* o9 {0 O6 w

    9 S3 Z6 ]* Z0 o5 W  网络惊现“冲击波杀手”网络蠕虫/ `8 B8 d& {7 c4 b& Y9 G) x

    $ z" P0 P5 a8 o- W  病毒名称:I-Worm/Chian
    3 M4 [& J" g( L6 m
    / z. a  a1 ^3 @0 a9 n( _  病毒长度:10240字节7 B0 ^6 J7 ^9 _+ m0 Y7 H) D+ ]

    ! [2 G: Q/ ]" [9 _  截获的文件名称:dllhost.exe8 W. d0 q$ l: ~- J1 s, s4 ~2 N6 `) j2 x
    , u9 m( _4 T2 W3 j, T
      感染系统:Windows XP,Windows 2000
    . O4 z1 H0 M6 d5 s: r9 n5 r' V& |+ A) |' S  t
      传播途径:利用微软的多重漏洞:  L) e2 K  v4 d; f
    8 o+ T# ?3 X6 j7 s9 I9 ?% C# X
      (1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026,“冲击波杀手”针对该漏洞
    ! U$ e* q; c% u% @0 W% h! `$ @3 V# O; c4 ^
      攻击的系统是Windows XP;1 j$ m/ ^# A% [$ o7 q* M4 J7 j

    ; g! \2 x1 G& C  [# c9 c  (2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。5 N7 w& b: w/ ~

      D4 }0 _/ Z! j9 Z  和“冲击波病毒I-Worm/Blaster”的关系:3 C8 V: W4 L; ^, O4 x# ]8 Q& F; e. P

    * w* \6 n- k3 {: z, i  从微软的网站自动下载DCOM RPC漏洞,并安装该漏洞,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,
    ) B6 g2 N! @5 b) `
    6 o* V! K* N: Q1 I* Z' [2 ?3 e% R* k$ U  接着重新启动计算机。7 L) z! j$ ~1 b' |& o( w
      W* H  S) |) K- D7 K: k# b
      感染方式:发送ICMP响应信号,或者发送PING命令来感染互连网上存在病毒的机器。' W3 s2 c$ a2 Y9 P1 M5 @9 b
    - J+ M+ F1 R7 v6 j
      症状文件:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe* _( |( O7 d% Z# f4 \6 ?6 \( N9 D

    # `% C4 d# T. r' v( C. {  后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
    8 ]( C- N7 p9 ?1 u$ |9 I! n9 C) ~! X/ _8 S" X7 o* m* O0 V
      2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .
    & S7 [8 Q/ e; }6 H$ Q  Z& X2 S3 n" P5 h2 F' W) n- `
      影响的端口:TCP 135,TCP 80.
      M+ p7 |& F2 `$ C9 a. o- F- {8 _6 D# G9 w; Q3 Z5 r2 V6 f' i
      病毒具体特征:
    ( E0 N5 r8 }% ^7 U! _1 C
    4 b7 _6 E' Z$ R/ X  当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。( ?4 d2 ?' w7 K$ P

    ( x0 C1 U. a0 c2 M1 W  k  病毒文字特征:
    - m, O% X$ F; d5 ~; a1 t
    5 t& Q7 q5 @7 l$ Y, N6 j; [& p  该病毒体内保存字符串:
    , H; r4 V) v$ b2 U9 W$ l1 L6 j9 R+ @% O2 n; w7 y/ P
      ============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========) g: V0 O0 S" e

    9 z+ G9 j+ j% w- G  大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
    % ]) W/ T  }" Z7 S* i9 {; F
    1 P6 W9 z+ \$ a7 O( p# @  同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
    2 O3 C& \+ D5 {! ~& O
    / P& X; J/ T* w, x  |# {0 i: _  江民KV杀毒软件用户无须任何专杀工具或手动清除措施,只需要升级一下病毒库即可查杀。
    / G/ t; B0 H' e6 z9 _/ P5 q
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩
    回复

    使用道具 举报

    考拉

    该用户从未签到
    2
    发表于 2004-5-2 12:32:00 | 只看该作者
    135和80?那不是关端口没用啊?& k0 a2 F6 ~' r  b
    # b- p8 d$ M; U, T
    还是用98好……
    回复 支持 反对

    使用道具 举报

    語過ャ添情

    该用户从未签到
    3
    发表于 2005-5-3 18:46:00 | 只看该作者

    煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!

    回复 支持 反对

    使用道具 举报

    返回列表 发新帖

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表