恶性蠕虫病毒`冲击波`Worm/MSBlast病毒资料
发布时间:2019-06-22 23:05:19 所属栏目:编程 来源:蓝点
导读:> 病毒名称: I-Worm/Blaster 病毒别名: W32/Lovsan.worm [McAfee/Kaspersky], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda] 病毒中文名称: 冲击波(公安部统一命名) 首次发现日期: 2003
|
> 病毒名称:I-Worm/Blaster 病毒别名:W32/Lovsan.worm [McAfee/Kaspersky], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda] 病毒中文名称:冲击波(公安部统一命名) 首次发现日期:2003年8月11日 病毒类型:网络蠕虫 病毒长度:6,176 字节 危险级别:高 影响平台:Microsoft Windows 2000 ,Microsoft Windows XP ,Microsoft Windows Server 2003 (Microsoft Windows NT 4.0 ,Microsoft Windows NT 4.0 Terminal Services Edition 也存在此漏洞) 病毒特征描述:病毒体采用UPX进行压缩处理。利用TCP 135端口,通过“RPC 接口中的缓冲区溢出可能允许执行代码 (823980) ”(DCOM RPC) 漏洞进行攻击。 在此病毒代码内隐藏一段文本信息: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 故障现象:操作系统不断报“PRC意外中止,系统重新启动”(与图一类似),客户机频繁重启,所有网络服务均出现故障,如IE浏览器打不开,OUTLOOK无法使用等。由于RPC服务终止可能造成其他的一些问题(这些功能依赖于RPC服务),如:无法进行复制、粘贴;无法查看网络属性;My Pictures文件夹显示不正常(如图二);计算机“服务”管理不正常;无法使用IE“在新窗口中打开”;金山词霸无法取词;无法添加删除程序等。  图一  图二 病毒行为和传播方式: 1、病毒运行时会建立一个名为“BILLY”的互斥线程,当病毒检测到系统有该线程的话则不会重复驻入内存。病毒会在内存中建立一个名为“msblast”的进程。 2、病毒运行时会将自身复制为:%systemdir%msblast.exe,%systemdir%指的是操作系统安装目录中的系统目录,Windows 2000/XP/2003默认为C:Winntsystem32。 3、在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加名为 “windows auto update”的启动项目,值为“msblast.exe”,使得每次启动计算机时自动加载病毒。 4、感染病毒的计算机会尝试连接20个随机的IP地址,并且对有此漏洞的计算机进行攻击,然后该病毒会休息(sleep)1.8秒,然后扫描下20个随机的IP地址。病毒扫描IP地址(A.B.C.D,如:IP为192.168.0.1时,A=192 B=168 C=0 D=1)符合如下规则: ①3/5的可能当D等于0时,A、B、C为0到255的随机数。 ②另外2/5的可能,病毒扫描子网并取得染毒计算机的IP地址,提取其中的A、B值,并设置D值为0,然后提取C的值。如果C的值小于等于20的时候,病毒不对其进行改变。例如:染毒计算机的IP地址为192.168.16.3则病毒将从192.168.16.0开始扫描;如果C的值大于20,则病毒会从C减去19和C值之间随机选择一个数。例如:感染计算机的IP地址为192.168.135.161,则病毒将扫描的IP地址为192.168.{115-134}.0。 5、病毒会在感染病毒的本机通过TCP135端口向那些IP地址的计算机发送“缓冲区溢出”的请求(即攻击代码),然后被攻击的计算机将在TCP4444端口开启一个Command Shell。 6、监听UDP69端口,当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后,将发送Msblast.exe 文件,并让受攻击的计算机执行它,至此受攻击的计算机也感染此病毒。 7、如果当前日期是8月或者当月日期是15日以后,病毒将发起对windowsupdate.com的拒绝服务(DoS)攻击。 注意:当计算机出现如图一所示的错误提示时本机不一定已经感染病毒,而是其他染毒的计算机正在试图对它进行攻击,所以查不到病毒也是正常的,只要打上补丁即可解决。不过仍然建议安装完补丁后对系统进行全盘扫描。 病毒解决方案: 1、在“控制面板”中的“管理工具”下的“服务”,选中Remote Procedure Call(RPC)服务(图三),把“恢复”选项卡中的第一、二次失败以及后续失败(图四)都选为“不操作”(Windows XP下默认为重新启动计算机)。另外Windows XP系统下如果出现重新启动计算机的提示(图一)可以立即运行“shutdown -a”来取消它。  图三  图四 2、立即使用Windows Update修补或直接登录http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp下载RPC服务漏洞补丁,也可登录金山论坛(bbs.kingsoft.net)病毒救援版名为“RPC安全补丁”的帖子中下载。注意:Win2000系统需要先安装Service Pack2以上,另外一些盗版的Windows XP无法安装此补丁。 3、在任务管理器中将 msblast.exe 进程结束,之后将windows安装目录下的system32文件夹下的msblast.exe 删除。这步也可以选择使用杀毒软件进行操作。 4、删除掉注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的windows auto update项。 相关信息: RPC 接口中的缓冲区溢出可能允许执行代码 (823980) http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp 文章来源:金山毒霸安全资讯网 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读