最大最专业黑客组织 -- 黑客联盟 -- Hacker Union For China -- www.ChinaHacker.Com -- 黑色矩防火墙 -- 专业防御DDOS攻击

联盟首页 技术文章 软件下载 DDOS防御 核心申请 分站申请 邮局系统 技术咨询 区域分化 广告合作 代理服务 版本V6.22

-------- Welcome To Hacker Union For China !Thank You For Your Support !--------
================ 维护祖国尊严 爱我中华 强我中华 耀我中华 ================
中国黑客联盟>>网络信息  |   中国黑客联盟>>系统知识  |  
中国黑客联盟>>网络信息>>系统漏洞>>紧急通告:“冲击波”又出新变种 W32.Welchia.Worm

紧急通告:“冲击波”又出新变种 W32.Welchia.Worm


  18日晚,网上截获“冲击波”病毒的最新变种 W32.Welchia.Worm 。通过对病毒样本进行分析和研究后发现这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲溢出和Microsoft Windows 2000 WebDAV远程缓冲溢出漏洞进行攻击的蠕虫。

新变种在将“冲击波”(Worm.Blaster)病毒杀掉后,就在系统内植入预防冲击波病毒的疫苗。但这种蠕虫跟其它蠕虫没有两样,它造成的麻烦要比它提供的帮助大得多。

病毒特征:

病毒大小为10240字节。用VC 6.0编译,upx 压缩。

蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置为:“Network Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将自身拷贝到%systemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示名称设为“WINS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用程序也可以看到。

然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。

检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。

蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的“0xAA”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。

一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。

该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。

蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。

有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。

蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins

由于该病毒采用PING方式进行探测,只感染能够PING通的机器,因此CNNS提醒广大用户,设置防火墙的规则,禁止ping,这样可以有效防止该病毒的入侵。

手工清除蠕虫:

1. 断开网络连接,安装补丁;

2. 点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd

3. 在:%Windir%\system32\wins\目录下删除:

SVCHOST.EXE

DLLHOST.EXE

4. 在注册表中删除键:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch

5. 重启系统。

附:另外需要注意的是,目前一种欺骗性电子邮件正在互联网上传播。这个电子邮件的主题是“更新”,包含的信息似乎要修复“冲击波”蠕虫利用的安全漏洞。实际上,如果接收者打开附件,其计算机中就会被安装一个特洛伊木马程序。杀毒软件公司Sophos把这个新病毒程序命名为“Graybird”。事实上,微软是从来不用电子邮件发布补丁。

原作者:不详
来 源:不详
共有22883位读者阅读过此文

□- 本周热门文章
1.Datalogic AV7000 L...[362286]
2.Delta Controls ent...[145857]
3.黑客入侵实例之轻装入侵个人主页空间 [132334]
4.Autodesk AutoCAD远程...[111829]
5.浅析如何控制内网机器[70041]
6.Yokogawa多个产品栈缓冲区溢出...[69515]
7.破解“隐身”的几大绝招[58538]

关于我们 | 分站申请 | 成员申请 | 技术论坛 | 站内导航 | 合作伙伴 | 联系我们

Copyrights © 2002 - 2019 www.ChinaHacker.com All Rights Reserved

版权所有   中 国 黑 客 联 盟

(Hacker Union For China V 6.22)

闽ICP备05007859号