摘要:
Worm.win32.lovesan 病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞(RPC DCOM缓冲溢出漏洞的详细信息关键字:
Worm.Win32.lovesan 正文:
病毒名称:Worm.Win32.lovesan
发作时间:随机
病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
依赖系统: WINDOWS 2000/XP/2003
病毒尺寸:6,176 字节
病毒发作现象:
Worm.win32.lovesan 病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞(RPC DCOM缓冲溢出漏洞的详细信息, 请访问以下微软网页: http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp),具体涉及的操作系统是:Windows2000、XP 、Server 2003。该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。
下面是弹出RPC服务终止的对话框的现象:
病毒详细说明:
1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。
2. 病毒运行时会在系统中建立一个名为:"BILLY"的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。
3. 病毒运行时会在内存中建立一个名为:"msblast.exe"的进程,该进程就是活的病毒体。
4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统 时,病毒都会运行。
5. 病毒体内隐藏有一段文本信息:I just want to say LOVE YOU SAN!!billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP /69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。
然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。
清除步骤 :
1. 删除注册表中的自启动项目
删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行
●单击 开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器
●在左边的列表中双击以下项目:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
●在右边的列表中查找并删除以下项目
Windows auto update" = MSBLAST.EXE
● 关闭注册表编辑器.
2. 应用补丁
1. 建议所有受影响的用户安装微软官方网站打补丁:
http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-cn
(注:在打此补丁程序前,请确认该计算机系统已打补丁到SP2以上,否则无法安装)
3. 终止恶意程序
此步骤用于中止内存中运行的恶意程序进程。
●打开Windows任
[1][2]
