18日晚,网上截获“冲击波”病毒的最新变种 W32.Welchia.Worm 。通过对病毒样本进行分析和研究后发现这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲溢出和Microsoft Windows 2000 WebDAV远程缓冲溢出漏洞进行攻击的蠕虫。
新变种在将“冲击波”(Worm.Blaster)病毒杀掉后,就在系统内植入预防冲击波病毒的疫苗。但这种蠕虫跟其它蠕虫没有两样,它造成的麻烦要比它提供的帮助大得多。
病毒特征:
病毒大小为10240字节。用VC 6.0编译,upx 压缩。
蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置为:“Network Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将自身拷贝到%systemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示名称设为“WINS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用程序也可以看到。
然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的“0xAA”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。
该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。
蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。
有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。
蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins
由于该病毒采用PING方式进行探测,只感染能够PING通的机器,因此CNNS提醒广大用户,设置防火墙的规则,禁止ping,这样可以有效防止该病毒的入侵。
手工清除蠕虫:
1. 断开网络连接,安装补丁;
2. 点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd
3. 在:%Windir%\system32\wins\目录下删除:
SVCHOST.EXE
DLLHOST.EXE
4. 在注册表中删除键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
5. 重启系统。
附:另外需要注意的是,目前一种欺骗性电子邮件正在互联网上传播。这个电子邮件的主题是“更新”,包含的信息似乎要修复“冲击波”蠕虫利用的安全漏洞。实际上,如果接收者打开附件,其计算机中就会被安装一个特洛伊木马程序。杀毒软件公司Sophos把这个新病毒程序命名为“Graybird”。事实上,微软是从来不用电子邮件发布补丁。
原作者:不详
来 源:不详
