江民科技发布“冲击波杀手”病毒分析报告

煎饼

国内领先的信息安全服务提供商江民科技（KV）于8月18日截获“冲击波杀手”病毒，并于当日发布了升级补丁。现公布该病毒分析报告，以供更多同行参考。
- J' `+ G+ |1 \% W+ f8 B
　　名称：冲击波杀手
- }: w/ S1 D& x8 L. d; N
* i; G- r3 ~4 f0 L* A5 y　　级别：紧急！！！
' i  F- r( _& J4 i9 P/ r
　　后果：可导致电信骨干网络堵塞。

) K2 ?' o+ I6 F9 |) p' U6 T/ G4 U　　已经提供：（1）技术分析报告
9 v, L7 }- d; b4 |
　　（2）补丁集合（直接放在KV2004的正版盘，下次刻盘提供）
5 ~# {3 c4 q6 D) {; f
　　网络惊现“冲击波杀手”网络蠕虫

" s1 B, m! R' H" T2 E( ^. B4 h　　病毒名称：I-Worm/Chian

' V' i" k+ e2 ]# p. O, h　　病毒长度：10240字节
- k9 u/ b- n& g7 O5 E
　　截获的文件名称：dllhost.exe

　　感染系统：Windows XP,Windows 2000
' O) Q! V5 [7 K* e% z0 m+ M& F: V
- X) S6 F: @  `6 J　　传播途径：利用微软的多重漏洞：
0 p8 S1 N7 I' t: d+ D4 R
( v( _* I8 _- D　　(1)利用“冲击波网络蠕虫漏洞”：利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026，“冲击波杀手”针对该漏洞

　　攻击的系统是Windows XP;

　　(2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞，攻击的对象是开放了浏览端口WEB（80)的运行微软IIS5.0的机器。

5 K- P* I0 S& a, L4 {　　和“冲击波病毒I-Worm/Blaster”的关系：

9 }% d0 {9 y$ q　　从微软的网站自动下载DCOM RPC漏洞，并安装该漏洞，同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器，试图删除冲击波病毒，

　　接着重新启动计算机。

) g# G& f0 F5 X1 h/ q4 `　　感染方式：发送ICMP响应信号，或者发送PING命令来感染互连网上存在病毒的机器。
3 c2 n2 k% ], T7 P7 x
/ n1 C& y7 g! E6 ?　　症状文件：删除“冲击波I-Worm/Blaster”，删除主文件msblast.exe
- A3 d& z- Y+ p# F1 Z$ d, U9 h, ~
　　后果：1)导致系统不稳定运行：由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定，重新启动、死机等。

　　2)在所有感染机器上安装一个FTP服务端：文件大小是19728字节，文件名称：svchost.exe .

　　影响的端口：TCP 135,TCP 80.
( W* ^, g% q0 m) e* l4 R
　　病毒具体特征：
; d; i7 P! m1 D5 V( y0 n/ @* f
　　当该网络蠕虫被运行后，将自身拷贝到WINDOWS系统目录下，并建立一个目录Wins，以文件名称Dllhost.exe存放。
$ Z, d+ I" _: z& `  Z
　　病毒文字特征：
' A: \! O- G2 w4 _, _
　　该病毒体内保存字符串：

: `; z# B0 {$ g; C# G　　============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
* ~. b: e) H/ r
　　大致的中文意思：我爱我的妻子和宝贝，欢迎Chian(病毒名称由此而来），注意：2004年自己将自动删除。
3 e1 [* P) }1 P) M8 S) R) `+ B
　　同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
  I$ L/ \- `3 E, A- a/ k+ {
　　江民KV杀毒软件用户无须任何专杀工具或手动清除措施，只需要升级一下病毒库即可查杀。
6 k* y2 z; x' l5 W7 V) ?7 Q

考拉

135和80？那不是关端口没用啊？
; A+ E' L0 E. N4 l7 H1 u- D
还是用98好……

語過ャ添情

煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!