| 交大铭泰发现以毒攻毒的“冲击波杀手” | ||||
|---|---|---|---|---|
| http://www.sina.com.cn 2003年08月19日 09:31 新浪科技 | ||||
|
8月18日夜,交大铭泰率先在国内截杀了一种可以杀“冲击波”病毒的新型蠕虫病毒。交大铭泰提醒广大电脑用户升级病毒库。同时,如果没有采用东方卫士主动防御体系的电脑用户下载交大铭泰提供的免费数字疫苗,可以防范冲击波及其变种的攻击,并可以抵御新的蠕虫病毒的入侵。 此“冲击波杀手”病毒会自动清除“冲击波”Blaster病毒。会自动修补系统漏洞。居 交大铭泰东方卫士率先升级病毒库,8月18日晚,交大铭泰已经升级病毒可对此病毒进行查杀,此病毒疑是专业反病毒人士所为。 病毒分析报道: 病毒名称:Win32/Welchia.worm. 10240 别名:WORM_MSBLAST.D 发现日期:2003-8-18 病毒类型:蠕虫 感染长度:10,240 bytes 危害级别:中 传播速度:快 受影响系统:Windows 2000, Windows XP, 不受影响系统:Macintosh, OS/2, Unix, Linux Win98 传播:通过微软RPC漏洞. 漏洞介绍:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp 破坏:致使网路堵塞,机器崩溃. 病毒基本概述: Win32/Welchia.worm.10240是利用RPC DCOM漏洞传播的蠕虫,交大铭泰公司从2003年8月18日下午开始接收了大量举报。 该蠕虫利用RPC DCOM漏洞传播,运行这后下载有关RPC DCOM的安全补丁。并且若存在Blaster的Win32/Blaster.worm.6176蠕虫,则强行结束后删除文件。-打开TCP 707端口。 病毒技术特征: 被蠕虫感染的系统向download.microsoft.com请求DNS query之后,得到相关IP地址,访问网站,下载适合被感染计算机操作系统的补丁文件。 下载文件之后,传送ICMP包(类型为8号的Echo Request),查找还好的系统。传送ICMP包时,基于计算机中设置的IP地址,固定B类地址之后,增加C类域的IP地址发送包。(如具有192.168.40.10的IP地址,则被蠕虫感染之后发送ICMP包时,从192.168.0.1开始继续增加地址。) 向ICMP发送包之后还有未感染的系统,则利用TCP/135号的RPC DCOM漏洞,试图攻击。攻击成功,则比Win32/Blaster.worm不同,利用TCP/707号以逆方向弹出命令运行窗口。 即, Blaster蠕虫向受攻击的系统以TCP/4444打开端口下载并运行蠕虫,但该蠕虫是对试图攻击的计算机以TCP/707号打开端口。打开707端口之后,运行如下命令。 传播时网络流量 虽然向一个C类域发送包每个系统需要的时间稍不同,但需要约4秒的时间。ICMP包是106Bytes,包含64 bytes的任意数据。该蠕虫生成ICMP包时,可引发每秒大约6.5K,每分钟388K左右的流量。 运行后的症状 该蠕虫利用Windows系统文件夹(通常\Winnt\system32, \windows\system32)的子文件夹Wins文件夹下安装如下文件。 - dllhost.exe (10,240字节) 是可执行压缩形式的蠕虫本身,由Visual C++编写的。卫士诊断为Win32/Welchia.worm.10240。 - svchost.exe (19,728字节) 原来是tftpd.exe文件,正常的文件,因此不诊断。 并且添加注册表值之后登录成服务,使每次启动时运行。 解决方案: 东方卫士系列产品20030819版本以后均可查杀 手动治疗方法 1.双击开始-> 设置-> 控制面板-> 管理工具-> 服务图标。 2.确认运行中的服务中是否有如下服务,若有停止该服务。 - WINS Client 3.同时按CTRL+ALT+DEL键,运行任务管理器之后-> 转到进程。 4.确认运行中的进程目录中是否有DLLHOST.EXE,若有选择'结束进程'按钮结束进程。 - -利用Blaster蠕虫专用工具的拦截,诊断/删除包的方法 利用Blaster专用工具,则可拦截Win32/Welchia.worm.1024,并可诊断/删除Win32/Welchia.worm.10240文件 可以随时拨打东方卫士服务热线电话:010-62501955-611或800免费热线咨询电话:8008109600进行咨询,东方卫士反病毒专家将为您提供全方位的技术支持与服务!或者浏览信息安全网站www.i110.com
绝对大奖!订非常笑话短信,送数码摄像机! |
| 首页 ● 新闻 ● 体育 ● 娱乐 ● 游戏 ● 邮箱 ● 搜索 ● 短信 ● 聊天 ● 天气 ● 答疑 ● 导航 |
 | 新浪首页 > 科技时代 > 互联网-国内 > “冲击波”病毒在国内迅速泛滥专题 > 正文 |
 |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||
|
科技时代意见反馈留言板 电话:010-82628888-5488 欢迎批评指正 新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑 Copyright © 1996 - 2003 SINA Inc. All Rights Reserved  版权所有 新浪网 |