§ 概要

病毒别名：Worm.win32.Welchia.e【avp】

处理时间：2004-03-10

威胁级别：★★★

中文名称：冲击波克星变种E

病毒类型：蠕虫

影响系统：Windows 2000, Windows XP

病毒行为:

“冲击波克星”系例

编写工具:

vc, upx压缩

传染条件:

该病毒只会对具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系统进行传播。

发作条件:

系统修改:

A、检查互斥体"WksPatch_Mutex.", 只允许一个实例运行.

B、自我复制到 %System%DriversSvchost.exe.

C、创建以下服务

服务名: WksPatch

服务程序: %System%DriversSvchost.exe

服务描述: 从以下三种字符串中组合:

1> System

Security

Remote

§ 相关条目

计算机 木马 病毒 网络 软件 系统

Routing

Performance

Network

License

Internet

2> Logging

Manager

Procedure

Accounts

Event

3> Provider

Sharing

Messaging

Client

D、删除名为"RpcPatch"的服务(这个服务是由冲击波克星系列创建的)

E、检测以下病毒是否存在:

Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.B

F、如果存在以上病毒则有以下现象:

1>结束下列进程:

%System%intrenat.exe (Worm.Doomjuice)

%System%Regedit.exe (Worm.Doomjuice.B)

%System%Taskmon.exe (Worm.Mydoom.A)

%System%Explorer.exe (Worm.Mydoom.B)

2>删除和以上病毒有关的文件,如:

%System%shimgapi.dll (The .dll associated with Worm.Mydoom.A)

%System%ctfmon.dll (The .dll associated with Worm.Mydoom.B)

值得注意的是删除时上述病毒可能正在运行,所以这一步有时会失败.

3>删除以下注册表键值:

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice)

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B)

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)

HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)

HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)

HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)

4>恢复以下注册表键值: (这些键值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll):

HKCR/CLSID//InProcServer32 = %Systemwebcheck.dll

5>恢复hosts文件(被Mydoom.A and .B修改)

#

#

127.0.0.1 localhost

G、产生随机ip地址并向这些地址发送溢出和漏洞攻击, 其中包括:

DCOM RPC

WebDav

Workstation Service

Locator service

DCOM RPC

H、在随机端口开启一个http服务，可以使别的机器容易受到感染。

I、如果被感染操作系统为日文，则在IIS的虚拟目录搜索扩展名为

shtml

shtm

stm

cgi

php

html

htm

asp

并以box.jpg.html覆盖搜索到的文件内容。浏览效果如box.jpg所示。

J、如果受感染系统为中文，英文或者韩文则在微软的windows升级主页下载漏洞补丁，

download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a

/WindowsXP-KB828035-x86-CHS.exe

download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59

/WindowsXP-KB828035-x86-KOR.exe

download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a

/WindowsXP-KB828035-x86-ENU.exe

download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c

/Windows2000-KB828749-x86-CHS.exe

download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513

/Windows2000-KB828749-x86-KOR.exe

download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9

/Windows2000-KB828749-x86-ENU.exe

安装补丁完毕后会重新启动计算机。

K、这个蠕虫会自我删除，在运行120天后或者2004年6月1日以前。

发作现象:

特别说明:

• RC版本
• RC纸
• RDBMS
• rdf
• RDF-LT轻型坦克
• RDFS
• RDO
• RDP漏洞
• RDRAM
• RDS
• rdsndin.exe
• re-emerge
• re-engage
• re-equip
• re-lay
• re-let
• Re-mission
• reacquaint
• react
• reaction
• read it
• read me
• read()
• readdress
• reader