论坛: 病毒专区 标题: 如果你觉得你你真的了解冲击波那就进吧 复制本贴地址    
作者: zhb7769 [zhb7769]    论坛用户   登录
有一天我朋友发给我一个网址,叫我给他的女朋友去看一下,我想现在他女朋友也不在,我就进去看了,妈的,真没有想到,一进去,江民就说有病毒,我就想关了吧,可是就是关不了,那个X点点没有用,我就结束任务,接下来我就查毒,好像查出来是I WOrm病毒已经清楚,不过在进程里多了两个DLLHOST.EXE进程,我就怀疑,所以都把他们给结束了,我再次查毒,江民说没有发现病毒,我重起,发现在DLLHOST.EXE没有在进程里,后来第二次重起发现进程有了一个DLLHOST(不知道正不正常),我也把它给结束了,今天江民自动查毒,查出一个SVCHOST.EXE已经清除,我奇怪,上次没有发现,这次它怎么发现的,我现在真是的头痛啊,兄弟们,知道的帮帮我,我在网上查了很多,发现那个STSM32里的那个8K的是正常的文件,没有发现别的了,知道的说一下

地主 发表时间: 10/12 10:39

回复: Royy [royy]   论坛用户   登录
估计是这个:W32.Welchia.Worm(冲击波杀手)
W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:

使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。
使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。
W32.Welchia.Worm 运行时会运行下列动作:
此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
此蠕虫也会试图移除 W32.Blaster.Worm
当 W32.Welchia.Worm 运行时,它会运行下列动作:

将自身复制到:%System%\Wins\Dllhost.exe
注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Winnt\System32 (Windows 2000) 或 C:\Windows\System32 (Windows XP)。

复制 %System%\Dllcache\Tftpd.exe 文件成为 %System%\Wins\svchost.exe 文件。

将子键
RpcPatch

RpcTftpd

加入注册键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

建立下列服务:
服务名称:RpcTftpd
服务显示名称:网络联机共享
服务二进制文件:%System%\wins\svchost.exe

此服务将设定为手动启动。
服务名称:RpcPatch
服务显示名称:WINS Client
服务二进制文件:%System%\wins\dllhost.exe

此服务将设定为自动启动。

结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\msblast.exe 文件。

此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。

此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。

一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。

在受入侵的主机上建立一个远程 shell,然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。

在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。

检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。

一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。

检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。

专杀工具下载地址: http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.welchia.worm.removal.tool.html

B1层 发表时间: 10/12 17:45

回复: zhb7769 [zhb7769]   论坛用户   登录
我用专杀工具查过了很多次了,什么冲击波变种专杀工具啊,冲击波专杀工具啊,我都试了,你给的也试了,都没有查出来,真奇怪啊?

B2层 发表时间: 10/12 18:22

回复: ilxc [ilxc]   论坛用户   登录
停掉WINS CLIENT服务后删除DLLHOST文件就可以了

B3层 发表时间: 10/18 09:50

回复: liumingl [liumingl]   论坛用户   登录
www.duba.net中有一个“冲击波”专杀工具,我试过了,可以杀除的!

B4层 发表时间: 10/18 11:16

回复: zilong889 [zilong889]   论坛用户   登录
  有一个最简单的解决方法,你只要把电脑的日期改成2004年后,重新启动就好啦!但是不要忘了安装杀毒软件阿!


B5层 发表时间: 10/18 20:21

回复: Seraph [seraph]   论坛用户   登录
我的电脑里的冲击波,金山和瑞星的专杀工具没有杀掉,打了Microsoft的补丁打了,但还是发作过.不知道是什么变种?

B6层 发表时间: 10/19 15:50

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号