恶性蠕虫病毒`冲击波`Worm/MSBlast病毒资料 -pc6资讯

您的位置：首页 → 资讯 → 手机辅助 → 恶性蠕虫病毒`冲击波`Worm/MSBlast病毒资料

恶性蠕虫病毒`冲击波`Worm/MSBlast病毒资料 时间：2004/10/8 14:41:00来源：本站整理作者：蓝点我要评论(0): > 　　病毒名称：I-Worm/Blaster

　　病毒别名：W32/Lovsan.worm [McAfee/Kaspersky], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda]

　　病毒中文名称：冲击波（公安部统一命名）

　　首次发现日期：2003年8月11日

　　病毒类型：网络蠕虫

　　病毒长度：6,176 字节

　　危险级别：高

　　影响平台：Microsoft Windows 2000 ，Microsoft Windows XP ，Microsoft Windows Server 2003 （Microsoft Windows NT 4.0 ，Microsoft Windows NT 4.0 Terminal Services Edition 也存在此漏洞）

　　病毒特征描述：病毒体采用UPX进行压缩处理。利用TCP 135端口，通过“RPC 接口中的缓冲区溢出可能允许执行代码 (823980) ”（DCOM RPC) 漏洞进行攻击。

　　在此病毒代码内隐藏一段文本信息：

　　I just want to say LOVE YOU SAN!!

　　billy gates why do you make this possible ? Stop making money and fix your software!!

　　故障现象：操作系统不断报“PRC意外中止，系统重新启动”（与图一类似），客户机频繁重启，所有网络服务均出现故障，如IE浏览器打不开，OUTLOOK无法使用等。由于RPC服务终止可能造成其他的一些问题（这些功能依赖于RPC服务），如：无法进行复制、粘贴；无法查看网络属性；My Pictures文件夹显示不正常（如图二）；计算机“服务”管理不正常；无法使用IE“在新窗口中打开”；金山词霸无法取词；无法添加删除程序等。

　　

　　图一

　　

　　图二

　　病毒行为和传播方式：

　　1、病毒运行时会建立一个名为“BILLY”的互斥线程，当病毒检测到系统有该线程的话则不会重复驻入内存。病毒会在内存中建立一个名为“msblast”的进程。

　　2、病毒运行时会将自身复制为：%systemdir%\msblast.exe，%systemdir%指的是操作系统安装目录中的系统目录，Windows 2000/XP/2003默认为C:\Winnt\system32。

　　3、在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名为

　　“windows auto update”的启动项目，值为“msblast.exe”，使得每次启动计算机时自动加载病毒。

　　4、感染病毒的计算机会尝试连接20个随机的IP地址，并且对有此漏洞的计算机进行攻击，然后该病毒会休息(sleep)1.8秒，然后扫描下20个随机的IP地址。病毒扫描IP地址（A.B.C.D，如：IP为192.168.0.1时，A=192 B=168 C=0 D=1）符合如下规则：

　　①3／5的可能当D等于0时，A、B、C为0到255的随机数。

　　②另外2／5的可能，病毒扫描子网并取得染毒计算机的IP地址，提取其中的A、B值，并设置D值为0，然后提取C的值。如果C的值小于等于20的时候，病毒不对其进行改变。例如：染毒计算机的IP地址为192.168.16.3则病毒将从192.168.16.0开始扫描；如果C的值大于20，则病毒会从C减去19和C值之间随机选择一个数。例如：感染计算机的IP地址为192.168.135.161，则病毒将扫描的IP地址为192.168.{115-134}.0。

　　5、病毒会在感染病毒的本机通过TCP135端口向那些IP地址的计算机发送“缓冲区溢出”的请求（即攻击代码），然后被攻击的计算机将在TCP4444端口开启一个Command Shell。

　　6、监听UDP69端口，当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后，将发送Msblast.exe 文件，并让受攻击的计算机执行它，至此受攻击的计算机也感染此病毒。

　　7、如果当前日期是8月或者当月日期是15日以后，病毒将发起对windowsupdate.com的拒绝服务（DoS）攻击。

　　注意：当计算机出现如图一所示的错误提示时本机不一定已经感染病毒，而是其他染毒的计算机正在试图对它进行攻击，所以查不到病毒也是正常的，只要打上补丁即可解决。不过仍然建议安装完补丁后对系统进行全盘扫描。

　　病毒解决方案：

　　1、在“控制面板”中的“管理工具”下的“服务”，选中Remote Procedure Call(RPC)服务（图三），把“恢复”选项卡中的第一、二次失败以及后续失败（图四）都选为“不操作”（Windows XP下默认为重新启动计算机）。另外Windows XP系统下如果出现重新启动计算机的提示(图一）可以立即运行“shutdown -a”来取消它。

　　

　　图三

　　

　　图四

　　2、立即使用Windows Update修补或直接登录http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp下载RPC服务漏洞补丁，也可登录金山论坛（bbs.kingsoft.net）病毒救援版名为“RPC安全补丁”的帖子中下载。注意：Win2000系统需要先安装Service Pack2以上，另外一些盗版的Windows XP无法安装此补丁。

　　3、在任务管理器中将 msblast.exe 进程结束，之后将windows安装目录下的system32文件夹下的msblast.exe 删除。这步也可以选择使用杀毒软件进行操作。

　　4、删除掉注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的windows auto update项。

　　相关信息：

　　RPC 接口中的缓冲区溢出可能允许执行代码 (823980)

　　http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
文章来源：金山毒霸安全资讯网

文章评论

查看所有0条评论>>