我辞职了,有谁愿意接替我的职位?
我在一家外贸公司做资讯组组长,其实目前就我一个人。这里的工作...
交流
讨论:谁能帮我解毒一下,谢谢了!!
作者 askswin 发布于 0000-00-00 分类:php基础编程
我的服务器一直往外发数接改据!!网络几乎不能动了!!补丁打过了!!瑞星,诺盾杀过了!!都是最新的!!原先诺盾杀过一个病毒W32.Welchia.Worm,后来就没杀到了!!可为什么还一直发数据呢???谁能帮我一下??我发现进程中有好几个svchost.exe不能结速!!!有什么办法吗??
逛论坛交流:谁能帮我解毒一下,谢谢了!!
相关讨论话题
>影响系统: Windows 2000, Windows XP.. 发表人 batman 发表于 10月02日
>我发现它一直向人家的1434端口发!! 发表人 askswin 发表于 10月02日
>查看进程,看看是那个文件产生的,然后.. 发表人 xhhy 发表于 10月02日
>终止不了啊!!!怎么积压物资是哪个进.. 发表人 askswin 发表于 10月02日
-
>影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考 : CAN-2003-0109, CAN-2003-0352
别名:
趋势科技 MSBlast.D
F-Secure LovSAN.D
NAI W32/Nachi.Worm
Symantec W32.Welchia.Worm
简单描述:
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞
(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48
和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=28)
进行传播。
如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打
上补
丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启
动。
ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。
(ICMP流量增长趋势参见附图)。
这些报文的特征如下:
xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
4500 005c 1a8d 0000 7801 85be xxxx xxxx
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa aaaa。
蠕虫的详细信息:
在被感染的机器上蠕虫会做以下操作:
1、蠕虫首先将自身拷贝到%System%WinsDllhost.exe
(%system%根据系统不同而不同,win2000为c:winntsystem32,winxp为c:windowssys
tem32)
2、拷贝%System%DllcacheTftpd.exe到%System%Winssvchost.exe
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝
Distributed Transaction Coordinator服务的描述信息给自身。
服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统
,或
其它事务保护资源管理器
创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信
息给自身。
服务的中文描述信息为:维护网络上计算机的最新列 表以及提供这个列表给请求的
程序。
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有
msblast.exe
文件,如果有就删除。
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活
的主机。
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻
击。
溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情
况
看,通常都是707端口。
7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据
返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将t
fptd拷
贝到%system%winssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再
拷贝。
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03
-26补丁
并安装。如果补丁安装完成就重新启动系统。
9、监测当前的系统日期,如果是2004年,就将自身清除。
感染特征:
1、被感染机器中存在如下文件:
%SYSTEMROOT%SYSTEM32WINSDLLHOST.EXE
%SYSTEMROOT%SYSTEM32WINSSVCHOST.EXE
2、注册表中增加如下子项:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
RpcTftpd
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
RpcPatch
3、增加两项伪装系统服务:
Network Connection Sharing
WINS Client
4、监听TFTP端口(69),以及一个随机端口(常见为707);
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。
6、大量对135端口的扫描;
网络控制方法:
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面
的协议端口:
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
ICMP echo request(type 8) 用于发现活动主机
使用IDS检测,规则如下:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";
content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:
http://www.ccert.edu.cn sid:483; classtype:misc-activity; rev:2;)
被感染计算机手动删除办法:
1、停止如下两项服务(开始->程序->管理工具->服务):
WINS Client
Network Connections Sharing
2、检查、并删除文件:
%SYSTEMROOT%SYSTEM32WINSDLLHOST.EXE
%SYSTEMROOT%SYSTEM32WINSSVCHOST.EXE
3. 进入注册表(“开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
RpcTftpd
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
RpcPatch
4. 给系统打补丁(否则很快被再次感染)
RPC补丁:
Windows 2000
Windows XP
IIS5.0补丁:
Q815021_W2K_sp4_x86_CN.EXE
注:IIS的补丁已经包含在win2k sp4中。
更多补丁信息请参见:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
请关注CCERT主页和邮件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn
其他参考信息
1、http://vil.nai.com/vil/content/v_100559.htm
2、http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/bulletin/MS03-026.asp
3、http://securityresponse.symantec ... w32.welchia.worm.ht
ml -
>我发现它一直向人家的1434端口发!!
-
>查看进程,看看是那个文件产生的,然后终止进程看看
-
>终止不了啊!!!怎么积压物资是哪个进程产生的??我只能怀疑svchost.exe
和dllhost.exe -
我有话要讲:(可以匿名发表, 发广告的有多远请滚多远!!!)
昵称: 请输入验证码:
4 条回复
回复