恶性蠕虫病毒`冲击波`Worm/MSBlast病毒资料
发布时间:2019-06-22 20:37:50 所属栏目:编程 来源:蓝点
导读:> 病毒名称: I-Worm/Blaster 病毒别名: W32/Lovsan.worm [McAfee/Kaspersky], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda] 病毒中文名称: 攻击波(公安部同肯定名) 初次发嫡期: 2003
|
> 病毒名称:I-Worm/Blaster 病毒别名:W32/Lovsan.worm [McAfee/Kaspersky], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda] 病毒中文名称:攻击波(公安部同肯定名) 初次发嫡期:2003年8月11日 病毒范例:收集蠕虫 病毒长度:6,176 字节 伤害级别:高 影响平台:Microsoft Windows 2000 ,Microsoft Windows XP ,Microsoft Windows Server 2003 (Microsoft Windows NT 4.0 ,Microsoft Windows NT 4.0 Terminal Services Edition 也存在此裂痕) 病毒特性描写:病毒体回收UPX举办压缩处理赏罚。操作TCP 135端口,通过“RPC 接口中的缓冲区溢出也许应承执行代码 (823980) ”(DCOM RPC) 裂痕举办进攻。 在此病毒代码内潜匿一段文本信息: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 妨碍征象:操纵体系不绝报“PRC不测中止,体系从头启动”(与图一相同),客户机频沉重启,全部收集处事均呈现妨碍,如IE赏识器打不开,OUTLOOK无法行使等。因为RPC处事终止也许造成其他的一些题目(这些成果依靠于RPC处事),如:无法举办复制、粘贴;无法查察收集属性;My Pictures文件夹表现不正常(如图二);计较机“处事”打点不正常;无法行使IE“在新窗口中打开”;金山词霸无法取词;无法添加删除措施等。  图一  图二 病毒举动和撒播方法: 1、病毒运行时会成立一个名为“BILLY”的互斥线程,当病毒检测到体系有该线程的话则不会一再驻入内存。病毒会在内存中成立一个名为“msblast”的历程。 2、病毒运行时会将自身复制为:%systemdir%msblast.exe,%systemdir%指的是操纵体系安装目次中的体系目次,Windows 2000/XP/2003默以为C:Winntsystem32。 3、在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加名为 “windows auto update”的启动项目,值为“msblast.exe”,使得每次启动计较机时自动加载病毒。 4、风行症毒的计较机遇实行毗连20个随机的IP地点,而且对有此裂痕的计较机举办进攻,然后该病毒会苏息(sleep)1.8秒,然后扫描下20个随机的IP地点。病毒扫描IP地点(A.B.C.D,如:IP为192.168.0.1时,A=192 B=168 C=0 D=1)切合如下法则: ①3/5的也许当D便是0时,A、B、C为0到255的随机数。 ②其它2/5的也许,病毒扫描子网并取得染毒计较机的IP地点,提取个中的A、B值,并配置D值为0,然后提取C的值。假如C的值小于便是20的时辰,病毒差池其举办改变。譬喻:染毒计较机的IP地点为192.168.16.3则病毒将从192.168.16.0开始扫描;假如C的值大于20,则病毒会从C减去19和C值之间随机选择一个数。譬喻:传染计较机的IP地点为192.168.135.161,则病毒将扫描的IP地点为192.168.{115-134}.0。 5、病毒会在风行症毒的本机通过TCP135端口向那些IP地点的计较机发送“缓冲区溢出”的哀求(即进攻代码),然后被进攻的计较机将在TCP4444端口开启一个Command Shell。 6、监听UDP69端口,当吸取到受进攻的呆板发来的应承行使DCOM RPC运行长途指令的动静后,将发送Msblast.exe 文件,并让受进攻的计较机执行它,至此受进攻的计较机也传染此病毒。 7、假如当前日期是8月可能当月日期是15日往后,病毒将提倡对windowsupdate.com的拒绝处事(DoS)进攻。 留意:当计较机呈现如图一所示的错误提醒时本机不必然已经风行症毒,而是其他染毒的计较机正在试图对它举办进攻,以是查不到病毒也是正常的,只要打上补丁即可办理。不外如故提议安装完补丁后对体系举办通盘扫描。 病毒办理方案: 1、在“节制面板”中的“打点器材”下的“处事”,选中Remote Procedure Call(RPC)处事(图三),把“规复”选项卡中的第一、二次失败以及后续失败(图四)都选为“不操纵”(Windows XP下默以为从头启动计较机)。其它Windows XP体系下假如呈现从头启动计较机的提醒(图一)可以当即运行“shutdown -a”来打消它。  图三  图四 2、当纵然用Windows Update修补或直接登录http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp下载RPC处事裂痕补丁,也可登录金山论坛(bbs.kingsoft.net)病毒救助版名为“RPC安详补丁”的帖子中下载。留意:Win2000体系必要先安装Service Pack2以上,其它一些盗版的Windows XP无法安装此补丁。 3、在使命打点器中将 msblast.exe 历程竣事,之后将windows安装目次下的system32文件夹下的msblast.exe 删除。这步也可以选择行使杀毒软件举办操纵。 4、删除去注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的windows auto update项。 相干信息: RPC 接口中的缓冲区溢出也许应承执行代码 (823980) http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp 文章来历:金山毒霸安详资讯网 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
