冲击波(Worm/MSBlast)恶性蠕虫病毒资料
病毒名称:I-Worm/Blaster
病毒别名:W32/Lovsan.worm [McAfee/Kaspersky], Win32.Poza [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda]
病毒中文名称:冲击波(公安部统一命名)
首次发现日期:2003年8月11日
病毒类型:网络蠕虫
病毒长度:6,176 字节
危险级别:高
影响平台:Microsoft Windows 2000 ,Microsoft Windows XP ,Microsoft Windows Server 2003 (Microsoft Windows NT 4.0 ,Microsoft Windows NT 4.0 Terminal Services Edition 也存在此漏洞)
病毒特征描述:病毒体采用UPX进行压缩处理。利用TCP 135端口,通过“RPC 接口中的缓冲区溢出可能允许执行代码 (823980) ”(DCOM RPC) 漏洞进行攻击。
在此病毒代码内隐藏一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
故障现象:操作系统不断报“PRC意外中止,系统重新启动”(与图一类似),客户机频繁重启,所有网络服务均出现故障,如IE浏览器打不开,OUTLOOK无法使用等。由于RPC服务终止可能造成其他的一些问题(这些功能依赖于RPC服务),如:无法进行复制、粘贴;无法查看网络属性;My Pictures文件夹显示不正常(如图二);计算机“服务”管理不正常;无法使用IE“在新窗口中打开”;金山词霸无法取词;无法添加删除程序等。
图一
图二
病毒行为和传播方式:
1、病毒运行时会建立一个名为“BILLY”的互斥线程,当病毒检测到系统有该线程的话则不会重复驻入内存。病毒会在内存中建立一个名为“msblast”的进程。
2、病毒运行时会将自身复制为:%systemdir%\msblast.exe,%systemdir%指的是操作系统安装目录中的系统目录,Windows 2000/XP/2003默认为C:\Winnt\system32。
3、在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加名为“windows auto update”的启动项目,值为“msblast.exe”,使得每次启动计算机时自动加载病毒。
4、感染病毒的计算机会尝试连接20个随机的IP地址,并且对有此漏洞的计算机进行攻击,然后该病毒会休息(sleep)1.8秒,然后扫描下20个随机的IP地址。病毒扫描IP地址(A.B.C.D,如:IP为192.168.0.1时,A=192 B=168 C=0 D=1)符合如下规则:
①3/5的可能当D等于0时,A、B、C为0到255的随机数。
②另外2/5的可能,病毒扫描子网并取得染毒计算机的IP地址,提取其中的A、B值,并设置D值为0,然后提取C的值。如果C的值小于等于20的时候,病毒不对其进行改变。例如:染毒计算机的IP地址为192.168.16.3则病毒将从192.168.16.0开始扫描;如果C的值大于20,则病毒会从C减去19和C值之间随机选择一个数。例如:感染计算机的IP地址为192.168.135.161,则病毒将扫描的IP地址为192.168.{115-134}.0。
5、病毒会在感染病毒的本机通过TCP135端口向那些IP地址的计算机发送“缓冲区溢出”的请求(即攻击代码),然后被攻击的计算机将在TCP4444端口开启一个Command Shell。
6、监听UDP69端口,当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后,将发送Msblast.exe 文件,并让受攻击的计算机执行它,至此受攻击的计算机也感染此病毒。
7、如果当前日期是8月或者当月日期是15日以后,病毒将发起对windowsupdate.com的拒绝服务(DoS)攻击。
注意:当计算机出现如图一所示的错误提示时本机不一定已经感染病毒,而是其他染毒的计算机正在试图对它进行攻击,所以查不到病毒也是正常的,只要打上补丁即可解决。不过仍然建议安装完补丁后对系统进行全盘扫描。
病毒解决方案:
1、在“控制面板”中的“管理工具”下的“服务”,选中Remote Procedure Call(RPC)服务(图三),把“恢复”选项卡中的第一、二次失败以及后续失败(图四)都选为“不操作”(Windows XP下默认为重新启动计算机)。另外Windows XP系统下如果出现重新启动计算机的提示(图一)可以立即运行“shutdown -a”来取消它。
图三
图四
2、立即使用Windows Update修补或直接登录下载RPC服务漏洞补丁。
3、在任务管理器中将 msblast.exe 进程结束,之后将windows安装目录下的system32文件夹下的msblast.exe 删除。这步也可以选择使用杀毒软件进行操作。
4、删除掉注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的windows auto update项。
巨无霸(Wrom.Sobig.e)恶性蠕虫病毒新变种资料
病毒类型:蠕虫
病毒长度:86528
危害级别:中
传播速度:高
技术特征:该病毒是蠕虫“巨无霸”(Worm.Sobig)的最新变种,和以前的“巨无霸”变种一样,具有蠕虫病毒最普遍的特征——大量发送带毒的邮件和通过局域网传播,而“巨无霸”最大的特点是会自动搜索文件中的邮件地址来发送带毒邮件,并且会伪装成一些大公司的发的邮件,这次是伪装成“雅虎”的技术支持邮件(support@yahoo.com)。
技术特征:
1、自我复制到系统目录(%Windir%)下,文件名为:winssk32.exe,同时创建文件msrrf.dat
2、添加注册表中的启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"SSK Service"="%Windir%\winssk32.exe"
对于Windows NT/2000/XP系统,还会添加以下启动项:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"SSK Service"="%Windir%\winssk32.exe"
3、枚举局域网共享文件夹,拷贝自身到局域网的共享文件夹,并试图复制到如下目录中:
Windows\All Users\Start Menu\Programs\StartUp
Documents and Settings\All Users\Start Menu\Programs\Startup
4、从msrrf.dat文件中读取网址,尝试从这些网址中下载病毒数据。
5、该病毒限制了传播时间,只会在2003年7月13日以前进行传播。
6、在*.wab、*.dbx 、*.htm 、*.html 、*.eml 、*.txt文件中查找Email地址,并向这些址发送含病毒自身的邮件,发件人伪装为:support@yahoo.com
发送邮件时可能的发件人、主题和附件名称:
发件人:support@yahoo.com
主题:
Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif
附件名称:
your_details.zip (contains details.pif)
application.zip (contains application.pif)
document.zip (contains document.pif)
screensaver.zip (contains sky.world.scr)
movie.zip (contains Movie.pif)
流言(Worm.SdBotRPC)恶性蠕虫病毒资料
金山毒霸反病毒中心于8月3日截获最新蠕虫病毒,命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软操作系统平台上RPC系统服务的漏洞攻击远端系统。
据金山毒霸反病毒工程师介绍:该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,造成远端系统无法使用RPC服务或系统崩溃。IRC是比较常用的聊天工具,这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门,等待远端控制者的命令,或通过IRC进行病毒的升级和传播等操作。
金山毒霸反病毒工程师提醒:请赶快到以下地址下载微软的补丁程序,避免此漏洞带来的危害:官方网站
如果不能下载补丁的用户,请用网络防火墙关闭“135 139 445”三个端口,以防止病毒的攻击。
金山毒霸已能完全杀查此病毒,请尽快更新你的金山毒霸,或下载专杀工具,来保护您的系统安全。
|
