“冲击波”新变种病毒可以杀冲击波 各杀毒软件公司积极应对

　　江民科技

　　8月18日下午，江民科技在网络上截获了最新型病毒“冲击波杀手”。

　　该病毒的特点是将“冲击波”(Worm.Blaster)病毒干掉，并在系统内值入预防冲击波病毒的疫苗。然后这个新病毒会从微软网站下载补丁并自动将受感染的系统打上补丁。然后该病毒会开启大量的线程PING其它IP地址，并通过RPC漏洞快速传播自己，消耗大量CPU和网络资源，造成网络瘫痪。该病毒内部设定在2004年自行毁灭，或许作者是试图以自己的这个程序消灭“冲击波”病毒，但是求胜心切，利用程序自我复制和在网络上大量发送搜索请求，反而使自身成为了一个病毒。

　　江民科技已经在8月18日下午升级了最新的病毒库，KV系列软件用户只需要升级病毒库即可完成对该病毒的查杀。

　　金山病毒

　　金山反病毒中心截获一个利用RPC漏洞进行传播的病毒，命名为“冲击波克星”（Worm.KillMsBlast)。

　　据金山病毒工程师介绍：该病毒最大的特点是针对“冲击波”(Worm.Msblast)病毒，实时将其杀死，并在系统内种下预防“冲击波”病毒的简易疫苗。病毒会尝试从微软网站上下载补丁程序，将受感染的系统打上补丁。以上的行为是病毒在做“好事”，步步紧逼着“冲击波”，可接下来，它就要做恶了。开启上百的线程疯狂探测IP地址，并通过RPC漏洞快速传播自己，消耗大量CPU和网络资源，并且有可能会导致系统死机。最后，病毒可能会在2004年自毁。

　　自从RPC漏洞出现以来已经形形色色的出现了大量相关或家族性病毒，如果：“冲击波”系列、“恶流言”系列等等，以往的这些病毒都以RPC为桥梁大肆传播并进行破坏。而“冲击波克星”以杀病毒、补漏洞的面目出现，用正面的形象来隐藏自己的真正用意，达到自己传播的目的。虽然这次“冲击波克星”没有进行大规模的破坏活动，但是这可能是病毒制造者的又一次试探，也许，下次就不会那么简单了。所以，广大的网络用户们要继续提高警惕，增强安全意识。

　　金山反病毒中心提醒：金山毒霸已经紧更新病毒库，最新病毒库能完全查杀此病毒。为避免此病毒带来的危害，请尽快升级您的金山毒霸，并打上RPC漏洞补丁。更多此病毒的信息请访问金山毒霸安全资讯网www.duba.net 。

　　交大铭泰

　　8月18日夜，交大铭泰在国内截杀了一种可以杀“冲击波”病毒的新型蠕虫病毒。交大铭泰提醒广大电脑用户升级病毒库。同时，如果没有采用东方卫士主动防御体系的电脑用户下载交大铭泰提供的免费数字疫苗，可以防范冲击波及其变种的攻击，并可以抵御新的蠕虫病毒的入侵。

　　此“冲击波杀手”病毒会自动清除“冲击波”Blaster病毒。会自动修补系统漏洞。居然支持 英文、简体中文、繁体中文、韩文四种系统。会自动卸载, 2004年以后，自动删除自己。 感染后会开一个ftp服务器。这个病毒是“善意”的， 而且编写质量极高。

　　交大铭泰东方卫士率先升级病毒库，8月18日晚，交大铭泰已经升级病毒可对此病毒进行查杀，此病毒疑是专业反病毒人士所为。

　　病毒分析报道：

　　病毒名称：Win32/Welchia.worm. 10240

　　别名： WORM_MSBLAST.D

　　发现日期：2003-8-18

　　病毒类型：蠕虫

　　感染长度：10,240 bytes

　　危害级别：中

　　传播速度：快

　　受影响系统：Windows 2000, Windows XP,

　　不受影响系统： Macintosh, OS/2, Unix, Linux Win98

　　传播:通过微软RPC漏洞.

　　漏洞介绍:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

　　破坏:致使网路堵塞,机器崩溃.

　　病毒基本概述:

　　 Win32/Welchia.worm.10240是利用RPC DCOM 漏洞传播的蠕虫， 交大铭泰公司从2003年8月18日下午开始接收了大量举报。

　　该蠕虫利用RPC DCOM 漏洞传播，运行这后下载有关RPC DCOM 的安全补丁。并且若存在Blaster的 Win32/Blaster.worm.6176 蠕虫，则强行结束后删除文件。- 打开TCP 707端口。

　　病毒技术特征：

　　被蠕虫感染的系统向download.microsoft.com请求DNS query之后，得到相关IP地址，访问网站，下载适合被感染计算机操作系统的补丁文件。

　　下载文件之后，传送ICMP包(类型为8号的Echo Request)，查找还好的系统。传送ICMP 包时，基于计算机中设置的IP地址，固定B 类地址之后，增加C类域的IP地址发送包。 (如具有192.168.40.10 的 IP 地址，则被蠕虫感染之后发送ICMP包时，从 192.168.0.1 开始继续增加地址。)

　　向ICMP发送包之后还有未感染的系统，则利用TCP/135 号的RPC DCOM漏洞，试图攻击。攻击成功，则比Win32/Blaster.worm不同，利用TCP/707 号以逆方向弹出命令运行窗口。

　　即, Blaster 蠕虫向受攻击的系统以TCP/4444打开端口下载并运行蠕虫，但该蠕虫是对试图攻击的计算机以TCP/707号打开端口。打开707端口之后，运行如下命令。

　　传播时网络流量

　　虽然向一个C类域发送包每个系统需要的时间稍不同，但需要约4秒的时间。 ICMP包是106Bytes ，包含64 bytes的任意数据。该蠕虫生成ICMP包时，可引发每秒大约 6.5K, 每分钟 388K 左右的流量。

　　运行后的症状

　　该蠕虫利用Windows系统文件夹(通常 \Winnt\system32, \windows\system32)的子文件夹Wins 文件夹下安装如下文件。

　　- dllhost.exe (10,240 字节)

　　是可执行压缩形式的蠕虫本身，由Visual C++ 编写的。卫士诊断为 Win32/Welchia.worm.10240 。

　　- svchost.exe (19,728 字节)

　　原来是tftpd.exe 文件，正常的文件，因此不诊断。

　　并且添加注册表值之后登录成服务，使每次启动时运行。

　　解决方案：

　　东方卫士系列产品20030819版本以后均可查杀

　　手动治疗方法

　　1. 双击开始 -> 设置 -> 控制面板 -> 管理工具 -> 服务图标。

　　2. 确认运行中的服务中是否有如下服务，若有停止该服务。

　　- WINS Client

　　3. 同时按CTRL+ALT+DEL 键，运行任务管理器之后 -> 转到进程。

　　4. 确认运行中的进程目录中是否有DLLHOST.EXE，若有选择 '结束进程'按钮结束进程。

　　- - 利用Blaster蠕虫专用工具的拦截，诊断/删除包的方法

　　利用Blaster专用工具，则可拦截Win32/Welchia.worm.1024，并可诊断/删除Win32/Welchia.worm.10240 文件

　　可以随时拨打东方卫士服务热线电话：010-62501955－611或800免费热线咨询电话：8008109600 进行咨询，东方卫士反病毒专家将为您提供全方位的技术支持与服务！或者浏览信息安全网站www.i110.com