以毒攻毒 “冲击波”新变种病毒可以杀冲击波

2003-08-19 09:26　转自：搜狐IT

页面功能【我来说两句】【我要“揪”错】【推荐】【字体：大中小】【打印】【关闭】

　　8月18日夜，交大铭泰率先在国内截杀了一种可以杀“冲击波”病毒的新型蠕虫病毒。交大铭泰提醒广大电脑用户升级病毒库。同时，如果没有采用东方卫士主动防御体系的电脑用户下载交大铭泰提供的免费数字疫苗，可以防范冲击波及其变种的攻击，并可以抵御新的蠕虫病毒的入侵。

　　此“冲击波杀手”病毒会自动清除“冲击波”Blaster病毒。会自动修补系统漏洞。居然支持英文、简体中文、繁体中文、韩文四种系统。会自动卸载, 2004年以后，自动删除自己。感染后会开一个ftp服务器。这个病毒是“善意”的，而且编写质量极高。

　　交大铭泰东方卫士率先升级病毒库，8月18日晚，交大铭泰已经升级病毒可对此病毒进行查杀，此病毒疑是专业反病毒人士所为。

　　病毒分析报道：

　　病毒名称：Win32/Welchia.worm. 10240

　　别名： WORM_MSBLAST.D

　　发现日期：2003-8-18

　　病毒类型：蠕虫

　　感染长度：10,240 bytes

　　危害级别：中

　　传播速度：快

　　受影响系统：Windows 2000, Windows XP,

　　不受影响系统： Macintosh, OS/2, Unix, Linux Win98

　　传播:通过微软RPC漏洞.

　　漏洞介绍:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

　　破坏:致使网路堵塞,机器崩溃.

　　病毒基本概述:

　　 Win32/Welchia.worm.10240是利用RPC DCOM 漏洞传播的蠕虫，交大铭泰公司从2003年8月18日下午开始接收了大量举报。

　　该蠕虫利用RPC DCOM 漏洞传播，运行这后下载有关RPC DCOM 的安全补丁。并且若存在Blaster的 Win32/Blaster.worm.6176 蠕虫，则强行结束后删除文件。- 打开TCP 707端口。

　　病毒技术特征：

　　被蠕虫感染的系统向download.microsoft.com请求DNS query之后，得到相关IP地址，访问网站，下载适合被感染计算机操作系统的补丁文件。

　　下载文件之后，传送ICMP包(类型为8号的Echo Request)，查找还好的系统。传送ICMP 包时，基于计算机中设置的IP地址，固定B 类地址之后，增加C类域的IP地址发送包。 (如具有192.168.40.10 的 IP 地址，则被蠕虫感染之后发送ICMP包时，从 192.168.0.1 开始继续增加地址。)

　　向ICMP发送包之后还有未感染的系统，则利用TCP/135 号的RPC DCOM漏洞，试图攻击。攻击成功，则比Win32/Blaster.worm不同，利用TCP/707 号以逆方向弹出命令运行窗口。

　　即, Blaster 蠕虫向受攻击的系统以TCP/4444打开端口下载并运行蠕虫，但该蠕虫是对试图攻击的计算机以TCP/707号打开端口。打开707端口之后，运行如下命令。

　　传播时网络流量

　　虽然向一个C类域发送包每个系统需要的时间稍不同，但需要约4秒的时间。 ICMP包是106Bytes ，包含64 bytes的任意数据。该蠕虫生成ICMP包时，可引发每秒大约 6.5K, 每分钟 388K 左右的流量。

　　运行后的症状

　　该蠕虫利用Windows系统文件夹(通常 \Winnt\system32, \windows\system32)的子文件夹Wins 文件夹下安装如下文件。

　　- dllhost.exe (10,240 字节)

　　是可执行压缩形式的蠕虫本身，由Visual C++ 编写的。卫士诊断为 Win32/Welchia.worm.10240 。

　　- svchost.exe (19,728 字节)

　　原来是tftpd.exe 文件，正常的文件，因此不诊断。

　　并且添加注册表值之后登录成服务，使每次启动时运行。

　　解决方案：