|
 | 作者: cnjavahome [cnjavahome]
 论坛用户 |
登录 |
| 我的电脑进程多了个svrhost 用正版毒霸查了一个也没查出来。 但我的电脑慢得不能在慢了,我把那个进程结束了。也把那个C:SYSTEM/SVRHOST给DELTREE了,可是上网打网页还是很慢。玩网络游戏什么都很快。 望快快回复 |
| 地主 发表时间: 09/28 16:51 |
 | 回复: disun [benww]  论坛用户 |
登录 |
|
转 金山公司截获一例最新恶性蠕虫病毒,名为“CodeBlue”。经过紧张分析后,发现该病毒都是利用了IIS的漏洞(具体可以到http://211.99.196.135/网址查看相关的漏洞情况)类似“红色代码”,由于在病毒体内包含“CodeBlue”字样,因此定名为“蓝色代码”。 “蓝色代码”蠕虫病毒感染Windows NT和Windows 2000系统服务器,由于其攻击微软inetinfo.exe程序的漏洞,并植入名为SvcHost.EXE的黑客程序运行,该蠕虫病毒将在服务器内存中不断地生成新的线程,最终导致系统运行缓慢,甚至瘫痪;如果操作系统是Windows 2000会将该系统的IIS服务停止运行,导致无法对外提供Web服务,服务器彻底瘫痪。 蠕虫运行会生成“C:\d.vbs”脚本程序,该脚本程序运行时将停止所有“.ida,.idq,.printer”的系统服务;同时尝试下载“httpext.dll”到“C:\”以及“C:\inetpub\scripts\httpext.dll”。 “红色代码”相比,“蓝色代码”攻击范围更广,传染性更强,黑客程序运行后将全面控制被感染的系统,同时修改注册表中有关IIS的设置,并在开机时启动程序SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\的注册表项,添加了自动运行黑客程序SvcHost.EXE的功能,重新启动时黑客程序将自动运行,因此造成的破坏性将比红色代码更加可怕。 金山公司紧急升级程序已能够实现该病毒的查杀。据金山公司反病毒专家、金山公司反病毒应急处理中心负责人陈飞舟介绍:“蓝色代码”是一个比“红色代码”设计更加完善,攻击力更强的蠕虫病毒,驻留的黑客程序将严重威胁信息安全,必须严加防范。金山公司反病毒应急处理中心目前处于高度戒备状态。 "蓝色代码"技术特征 第一时间取得病毒样本后,金山公司反病毒应急处理中心迅速分工、一步步揭开了这个病毒面纱。 陈飞舟和李宇雄负责分析SvrHost.EXE,孙国君负责分析d.vbs,刘海峰负责网络相关命令的分析,以及漏洞资料的查找;徐飞和冯涛负责在断网的情况下运行同时运行监控程序,监控该蠕虫的动作,冯涛负责编写CodeBlue的专杀工具; 该蠕虫经过了狡猾的加密,不过这拦不倒我们,用脱壳工具轻松搞定; 解开后的蠕虫结构变得非常清晰,经过初步的分析发现其会不断创建线程,以及如果是Windows2000会将inetinfo.exe进程杀掉,这可是IIS主服务程序,马上会造成Web服务器的停止,这可比“红色代号”蠕虫更狠,我们马上联系公安部病毒应急处理中心,通报这一结果,希望能尽快提出预警。 冯涛和徐飞也得出,蠕虫不停地读写“C:\HttpExt.DLL”,“c:\d.vbs”文件同时也写了注册表“SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\”。 孙国君也将d.vbs分析结束,发现该d.vbs会停止系统中.ida、.idq 和 .printer类文件的调用程序映射,目的也是让Web服务器不能正常启用这些文件;由于问题的严重性,陈飞舟继续分析,而李宇雄马上提取病毒特征,升级病毒库,测试人员开始了紧张烦的测试升级包的工作中;冯涛开始编写CodeBlue的专杀工具。 陈飞舟发现该蠕虫创建了一个标准的Windows窗口,同时在窗口收到WM_CREATE消息的时候进行一系列生成svchost.exe,改写注册表,让svchost.exe能在系统启动的时候运行,同时生成c:\d.vbs,并运行,停止一部分Web服务,同时判断如果是Windows 2000/XP则将inetinfo.exe进程杀毒,让Web服务器彻底瘫痪,同时根据一定的算法生成IP地址作为攻击传染对象;本来蠕虫希望在每天10点-11点之间启动一个线程访问211.99.196.135网站,不断访问该网站的主页,到该网站一看发现居然是绿盟科技的网站,看样子作者想采用DoS的方式攻击绿盟科技的网站,使得服务器瘫痪。攻击传染的线程在不断地生成中,而且每个生成的线程都会用UNICODE漏洞的各种编码和可能的目录名攻击目标主机,看样子该蠕虫所在地机器迟早会被不断生成的线程拖垮,但是由于条件语句编写的BUG,导致攻击绿盟科技的线程启动不了。 刘海峰找到了蠕虫攻击利用Unicode漏洞的资料,马上将这些资料通报公安部应急处理中心,同时也找到蠕虫相关代码段进行分析;这时也发现同时该蠕虫同时想利用URL的缓冲区溢出方式攻击绿盟的网站。 目前,在升级最新病毒库后,金山毒霸已经可以完成对“蓝色代码”的查杀,专杀“蓝色代码”的小工具也即将完成,供用户免费下载! |
| B1层 发表时间: 09/28 19:11 |
 | 回复: hackermts [hackermts]  论坛用户 |
登录 |
|
楼上的!!你粘的有点过时了! 现在也有几个新的木马,文件名也是!! 不过正常的文件在system32目录下,木马在system32的子目录下! 病毒和木马也在不停的更新哦!!! 这个木马确实会占用很大的资源! 我也中过,是装软件染的! |
| B2层 发表时间: 10/01 04:23 |
 | 回复: boydream [boydream] 论坛用户 |
登录 |
|
这个不能删。除非被感染了。 |
| B3层 发表时间: 10/12 00:09 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 请问svrhost是什么病毒?