| 词条 | Worm.Welchia.e |
| 释义 | § 概要 病毒别名:Worm.win32.Welchia.e【avp】 处理时间:2004-03-10 威胁级别:★★★ 中文名称:冲击波克星变种E 病毒类型:蠕虫 影响系统:Windows 2000, Windows XP 病毒行为: “冲击波克星”系例 编写工具: vc, upx压缩 传染条件: 该病毒只会对具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系统进行传播。 发作条件: 系统修改: A、检查互斥体"WksPatch_Mutex.", 只允许一个实例运行. B、自我复制到 %System%DriversSvchost.exe. C、创建以下服务 服务名: WksPatch 服务程序: %System%DriversSvchost.exe 服务描述: 从以下三种字符串中组合: 1> System Security Remote § 相关条目 计算机 木马 病毒 网络 软件 系统 Routing Performance Network License Internet 2> Logging Manager Procedure Accounts Event 3> Provider Sharing Messaging Client D、删除名为"RpcPatch"的服务(这个服务是由冲击波克星系列创建的) E、检测以下病毒是否存在: Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.B F、如果存在以上病毒则有以下现象: 1>结束下列进程: %System%intrenat.exe (Worm.Doomjuice) %System%Regedit.exe (Worm.Doomjuice.B) %System%Taskmon.exe (Worm.Mydoom.A) %System%Explorer.exe (Worm.Mydoom.B) 2>删除和以上病毒有关的文件,如: %System%shimgapi.dll (The .dll associated with Worm.Mydoom.A) %System%ctfmon.dll (The .dll associated with Worm.Mydoom.B) 值得注意的是删除时上述病毒可能正在运行,所以这一步有时会失败. 3>删除以下注册表键值: HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A) HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B) HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B) 4>恢复以下注册表键值: (这些键值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll): HKCR/CLSID//InProcServer32 = %Systemwebcheck.dll 5>恢复hosts文件(被Mydoom.A and .B修改) # # 127.0.0.1 localhost G、产生随机ip地址并向这些地址发送溢出和漏洞攻击, 其中包括: DCOM RPC WebDav Workstation Service Locator service DCOM RPC H、在随机端口开启一个http服务,可以使别的机器容易受到感染。 I、如果被感染操作系统为日文,则在IIS的虚拟目录搜索扩展名为 shtml shtm stm cgi php html htm asp 并以box.jpg.html覆盖搜索到的文件内容。浏览效果如box.jpg所示。 J、如果受感染系统为中文,英文或者韩文则在微软的windows升级主页下载漏洞补丁, download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a /WindowsXP-KB828035-x86-CHS.exe download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59 /WindowsXP-KB828035-x86-KOR.exe download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a /WindowsXP-KB828035-x86-ENU.exe download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c /Windows2000-KB828749-x86-CHS.exe download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513 /Windows2000-KB828749-x86-KOR.exe download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9 /Windows2000-KB828749-x86-ENU.exe 安装补丁完毕后会重新启动计算机。 K、这个蠕虫会自我删除,在运行120天后或者2004年6月1日以前。 发作现象: 特别说明: |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。