病毒简介

具体介绍

病毒简介

病毒名称：Win32.Nachi.A

其它名称：MS03-026 Exploit.Trojan,W32.Welchia.Worm (Symantec

病毒属性：蠕虫病毒 危害性：低危害 流行程度：中

具体介绍

冠群金辰病毒响应小组今日截获到一种新的利用RPC漏洞的病毒。此病毒包含两部分：

* DLLHOST.EXE - 10,240 字节长度，主要的利用rpc漏洞传播的程序。

* SVCHOST.EXE - 19,728 字节长度，此文件就是系统提供的FTP服务程序。被病毒改名为SVCHOST.EXE。

病毒一旦通过漏洞传播过来并被激活，病毒将创建一个名为"RpcPatch_Mutex"的互斥体来避免重复感染。而后将会在被感染的系统中使用以上两个程序建立两个服务进程，以便进行进一步的传播。

病毒修改以下注册表健值：

HKLM\\System\\CurrentControlSet\\Services\\RpcTftpd\\ImagePath = "%System%\\wins\\svchost.exe"

HKLM\\System\\CurrentControlSet\\Services\\RpcPatch\\ImagePath = "%System%\\wins\\DLLHOST.EXE"

此病毒最大的特点是针对“冲击波（msblaster）”：

病毒下一步会搜索以"MSBLAST.EXE"命名的进程。一旦找到，此进程将被终止，然后在系统目录中查这个文件并将其删除。在清除“冲击波”后，病毒将在被感染机器上建立自己的访问通道。之后，病毒将根据染毒机器的版本、语言及service pack版本从微软的网站下载补丁文件并进行安装。

http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe

.......

http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

病毒采用的传播手段与“冲击波”大致相同，通过相同的漏洞查找感染目标机器，之后使用TCP 707端口建立远程连接，成功后先测试"microsoft.com" 是否能够正常访问，如果可以则向被感染机器发送指令进行下一轮的传播过程。

病毒将会在2004年将其自身删除。