首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 天气 答疑 导航
新浪首页 > 科技时代 > 互联网-国内 > “冲击波”病毒在国内迅速泛滥专题 > 正文

交大铭泰发现以毒攻毒的“冲击波杀手”

http://www.sina.com.cn 2003年08月19日 09:31 新浪科技

  8月18日夜,交大铭泰率先在国内截杀了一种可以杀“冲击波”病毒的新型蠕虫病毒。交大铭泰提醒广大电脑用户升级病毒库。同时,如果没有采用东方卫士主动防御体系的电脑用户下载交大铭泰提供的免费数字疫苗,可以防范冲击波及其变种的攻击,并可以抵御新的蠕虫病毒的入侵。

  此“冲击波杀手”病毒会自动清除“冲击波”Blaster病毒。会自动修补系统漏洞。居
然支持英文、简体中文、繁体中文、韩文四种系统。会自动卸载, 2004年以后,自动删除自己。感染后会开一个ftp服务器。这个病毒是“善意”的,而且编写质量极高。

  交大铭泰东方卫士率先升级病毒库,8月18日晚,交大铭泰已经升级病毒可对此病毒进行查杀,此病毒疑是专业反病毒人士所为。

  病毒分析报道:

  病毒名称:Win32/Welchia.worm. 10240

  别名:WORM_MSBLAST.D

  发现日期:2003-8-18

  病毒类型:蠕虫

  感染长度:10,240 bytes

  危害级别:中

  传播速度:快

  受影响系统:Windows 2000, Windows XP,

  不受影响系统:Macintosh, OS/2, Unix, Linux Win98

  传播:通过微软RPC漏洞.

  漏洞介绍:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

  破坏:致使网路堵塞,机器崩溃.

  病毒基本概述:

  Win32/Welchia.worm.10240是利用RPC DCOM漏洞传播的蠕虫,交大铭泰公司从2003年8月18日下午开始接收了大量举报。

  该蠕虫利用RPC DCOM漏洞传播,运行这后下载有关RPC DCOM的安全补丁。并且若存在Blaster的Win32/Blaster.worm.6176蠕虫,则强行结束后删除文件。-打开TCP 707端口。

  病毒技术特征:

  被蠕虫感染的系统向download.microsoft.com请求DNS query之后,得到相关IP地址,访问网站,下载适合被感染计算机操作系统的补丁文件。

  下载文件之后,传送ICMP包(类型为8号的Echo Request),查找还好的系统。传送ICMP包时,基于计算机中设置的IP地址,固定B类地址之后,增加C类域的IP地址发送包。(如具有192.168.40.10的IP地址,则被蠕虫感染之后发送ICMP包时,从192.168.0.1开始继续增加地址。)

  向ICMP发送包之后还有未感染的系统,则利用TCP/135号的RPC DCOM漏洞,试图攻击。攻击成功,则比Win32/Blaster.worm不同,利用TCP/707号以逆方向弹出命令运行窗口。

  即, Blaster蠕虫向受攻击的系统以TCP/4444打开端口下载并运行蠕虫,但该蠕虫是对试图攻击的计算机以TCP/707号打开端口。打开707端口之后,运行如下命令。

  传播时网络流量

  虽然向一个C类域发送包每个系统需要的时间稍不同,但需要约4秒的时间。ICMP包是106Bytes,包含64 bytes的任意数据。该蠕虫生成ICMP包时,可引发每秒大约6.5K,每分钟388K左右的流量。

  运行后的症状

  该蠕虫利用Windows系统文件夹(通常\Winnt\system32, \windows\system32)的子文件夹Wins文件夹下安装如下文件。

  - dllhost.exe (10,240字节)

  是可执行压缩形式的蠕虫本身,由Visual C++编写的。卫士诊断为Win32/Welchia.worm.10240。

  - svchost.exe (19,728字节)

  原来是tftpd.exe文件,正常的文件,因此不诊断。

  并且添加注册表值之后登录成服务,使每次启动时运行。

  解决方案:

  东方卫士系列产品20030819版本以后均可查杀

  手动治疗方法

  1.双击开始-> 设置-> 控制面板-> 管理工具-> 服务图标。

  2.确认运行中的服务中是否有如下服务,若有停止该服务。

  - WINS Client

  3.同时按CTRL+ALT+DEL键,运行任务管理器之后-> 转到进程。

  4.确认运行中的进程目录中是否有DLLHOST.EXE,若有选择'结束进程'按钮结束进程。

  - -利用Blaster蠕虫专用工具的拦截,诊断/删除包的方法

  利用Blaster专用工具,则可拦截Win32/Welchia.worm.1024,并可诊断/删除Win32/Welchia.worm.10240文件

  可以随时拨打东方卫士服务热线电话:010-62501955-611或800免费热线咨询电话:8008109600进行咨询,东方卫士反病毒专家将为您提供全方位的技术支持与服务!或者浏览信息安全网站www.i110.com


评论】【IT业界论坛】【推荐】【 】【打印】【关闭

     加快业务步伐,参加2003 IBM软件年会!
诺基亚,三星手机,笔记本全部499起限量甩卖中

  绝对大奖!订非常笑话短信,送数码摄像机!
  注册新浪9M全免费邮箱
  新概念英语 口语 出国考试 考研暑期限时优惠
  无数人梦寐以求的境界,亲密接触,激烈搏杀,包你爽上“天堂”

新 闻 查 询
关键词一
关键词二


search Esprit 皇马 小灵通
 

新浪精彩短信
两性学堂
性爱不仅是能力,更是心灵的释放和情感上的温存……
非常笑话
妻子:我患病卧床你却到外面跳舞!丈夫辩解道:…
图片
铃声
·[那 英] 一笑而过
·[孙 楠] 你快回来
·[陈 琳] 爱就爱了
铃声搜索




新浪商城推荐
佳能数码相机
  • A60A70新品上市
  • s45 送128兆
  • igo5美味购物体验
  • 特价原装手机配件
  • 十大禁书1.7折
  • 上网体验潮流科技
  • 全新手机百元起
  • 彩信手机百元起拍
     (以上推荐一周有效)
  • 更多精品特卖>>

     发表评论:  匿名发表  笔名:   密码:
    每日2条,28元/月
    原色地带--普通图片铃声,5元包月下载,每条仅0.1元 
    炫彩地带--彩图和弦铃声,10元包月下载,每条仅0.1元
    爆笑无比精彩无限,成人世界的快乐享受
    好消息:8月11日-20日订阅非常笑话的用户有机会获得数码相机或摄像机
    每日2条,30元/月



    科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    Copyright © 1996 - 2003 SINA Inc. All Rights Reserved

    版权所有 新浪网