江民科技发布“冲击波杀手”病毒分析报告

煎饼

国内领先的信息安全服务提供商江民科技（KV）于8月18日截获“冲击波杀手”病毒，并于当日发布了升级补丁。现公布该病毒分析报告，以供更多同行参考。

4 s# n: {1 I0 @7 G　　名称：冲击波杀手

　　级别：紧急！！！
* Z) r. [9 }/ ^! i0 `/ S
　　后果：可导致电信骨干网络堵塞。

* N0 M( ?# H! c3 c. M% `$ [　　已经提供：（1）技术分析报告

　　（2）补丁集合（直接放在KV2004的正版盘，下次刻盘提供）

　　网络惊现“冲击波杀手”网络蠕虫
+ M) [" P  s7 }- b1 `' e
6 q- g7 d2 b& b2 M　　病毒名称：I-Worm/Chian
! R6 `" P9 H+ O$ M( J; Y* x
1 @/ b! T' b9 z3 }　　病毒长度：10240字节

　　截获的文件名称：dllhost.exe

, k! {- o3 P) [% `) ?/ a6 K　　感染系统：Windows XP,Windows 2000

　　传播途径：利用微软的多重漏洞：

* o+ {6 G% ?5 z6 P, z! j　　(1)利用“冲击波网络蠕虫漏洞”：利用TCP 端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026，“冲击波杀手”针对该漏洞

　　攻击的系统是Windows XP;

　　(2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞，攻击的对象是开放了浏览端口WEB（80)的运行微软IIS5.0的机器。
) n& L2 J" B- ~* s+ l( d8 }4 K+ ~
7 K/ o* U7 D0 N; q0 k　　和“冲击波病毒I-Worm/Blaster”的关系：

: K! K, X% w1 y: H3 k1 s　　从微软的网站自动下载DCOM RPC漏洞，并安装该漏洞，同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器，试图删除冲击波病毒，
1 ]" M% a9 U+ C% B' U. U
' R4 V1 u/ W. s! F; l1 n　　接着重新启动计算机。
7 S" J& |2 R* Q1 {
　　感染方式：发送ICMP响应信号，或者发送PING命令来感染互连网上存在病毒的机器。

　　症状文件：删除“冲击波I-Worm/Blaster”，删除主文件msblast.exe

$ ~6 o3 T/ `, H, P. o' B　　后果：1)导致系统不稳定运行：由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定，重新启动、死机等。

　　2)在所有感染机器上安装一个FTP服务端：文件大小是19728字节，文件名称：svchost.exe .

　　影响的端口：TCP 135,TCP 80.
* J4 ^/ }; k. h4 V
　　病毒具体特征：
1 I( U! I" P) M! y0 t1 b
; h6 X4 l1 ~9 z. ~* `　　当该网络蠕虫被运行后，将自身拷贝到WINDOWS系统目录下，并建立一个目录Wins，以文件名称Dllhost.exe存放。

9 z: K# u5 Q- P　　病毒文字特征：
' b) {4 W. ^7 E8 [7 `: s' C( r
　　该病毒体内保存字符串：

　　============I love my wife & baby ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself~~ sorry zhongli~~~========
+ H  y6 Y9 c: o+ e. O5 C) u
& g( R+ Q8 w+ B9 z+ k　　大致的中文意思：我爱我的妻子和宝贝，欢迎Chian(病毒名称由此而来），注意：2004年自己将自动删除。
/ x& A6 W7 T7 k! T1 [
　　同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=
: \0 g* d+ Z9 }' i2 [; P
# M! Y5 e; p3 f/ ]$ B　　江民KV杀毒软件用户无须任何专杀工具或手动清除措施，只需要升级一下病毒库即可查杀。

考拉

135和80？那不是关端口没用啊？
6 R3 R8 `$ D+ h/ _* C
. o5 G) M" P. P9 x5 f" |5 H还是用98好……

語過ャ添情

煎饼,,,,,,,江民的序号在哪编!!!!!想用时找不到了,,,,帮忙啦!!!!