概要
病毒別名:Worm.win32.Welchia.e【avp】
處理時間:2004-03-10
威脅級別:★★★
中文名稱:衝擊波剋星變種E
病毒類型:蠕蟲
影響系統:Windows 2000, Windows XP
病毒行為:
“衝擊波剋星”系例
編寫工具:
vc, upx壓縮
傳染條件:
該病毒只會對具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系統進行傳播。
發作條件:
系統修改:
A、檢查互斥體"WksPatch_Mutex.", 只允許一個實例運行.
B、自我複製到 %System%DriversSvchost.exe.
C、創建以下服務
服務名: WksPatch
服務程式: %System%DriversSvchost.exe
服務描述: 從以下三種字元串中組合:
1> System
Security
Remote
相關條目
計算機 木馬 病毒 網路 軟體 系統
Routing
Performance
Network
License
Internet
2> Logging
Manager
Procedure
Accounts
Event
3> Provider
Sharing
Messaging
Client
D、刪除名為"RpcPatch"的服務(這個服務是由衝擊波剋星系列創建的)
E、檢測以下病毒是否存在:
Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.b
F、如果存在以上病毒則有以下現象:
1>結束下列進程:
%System%intrenat.exe (Worm.Doomjuice)
%System%Regedit.exe (Worm.Doomjuice.B)
%System%taskmon.exe (Worm.Mydoom.A)
%System%Explorer.exe (Worm.Mydoom.B)
2>刪除和以上病毒有關的檔案,如:
%System%shimgapi.dll (The .dll associated with Worm.Mydoom.A)
%System%ctfmon.dll (The .dll associated with Worm.Mydoom.B)
值得注意的是刪除時上述病毒可能正在運行,所以這一步有時會失敗.
3>刪除以下註冊表鍵值:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)
4>恢復以下註冊表鍵值: (這些鍵值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll):
HKCR/CLSID//InProcServer32 = %Systemwebcheck.dll
5>恢復hosts檔案(被Mydoom.A and .B修改)
#
#
127.0.0.1 localhost
G、產生隨機ip地址並向這些地址傳送溢出和漏洞攻擊, 其中包括:
DCOM RPC
WebDav
Workstation Service
Locator service
DCOM RPC
H、在隨機連線埠開啟一個http服務,可以使別的機器容易受到感染。
I、如果被感染作業系統為日文,則在IIS的虛擬目錄搜尋擴展名為
shtml
shtm
stm
cgi
php
html
htm
asp
並以box.jpg.html覆蓋搜尋到的檔案內容。瀏覽效果如box.jpg所示。
J、如果受感染系統為中文,英文或者韓文則在微軟的windows升級主頁下載漏洞補丁,
download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
安裝補丁完畢後會重新啟動計算機。
K、這個蠕蟲會自我刪除,在運行120天后或者2004年6月1日以前。
發作現象:
特別說明:
