|
 | 作者: zhb7769 [zhb7769]
 论坛用户 |
登录 |
| 有一天我朋友发给我一个网址,叫我给他的女朋友去看一下,我想现在他女朋友也不在,我就进去看了,妈的,真没有想到,一进去,江民就说有病毒,我就想关了吧,可是就是关不了,那个X点点没有用,我就结束任务,接下来我就查毒,好像查出来是I WOrm病毒已经清楚,不过在进程里多了两个DLLHOST.EXE进程,我就怀疑,所以都把他们给结束了,我再次查毒,江民说没有发现病毒,我重起,发现在DLLHOST.EXE没有在进程里,后来第二次重起发现进程有了一个DLLHOST(不知道正不正常),我也把它给结束了,今天江民自动查毒,查出一个SVCHOST.EXE已经清除,我奇怪,上次没有发现,这次它怎么发现的,我现在真是的头痛啊,兄弟们,知道的帮帮我,我在网上查了很多,发现那个STSM32里的那个8K的是正常的文件,没有发现别的了,知道的说一下 |
| 地主 发表时间: 10/12 10:39 |
| 回复: Royy [royy]  论坛用户 |
登录 |
|
估计是这个:W32.Welchia.Worm(冲击波杀手) W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫: 使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。 使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。 W32.Welchia.Worm 运行时会运行下列动作: 此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。 此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。 此蠕虫也会试图移除 W32.Blaster.Worm 当 W32.Welchia.Worm 运行时,它会运行下列动作: 将自身复制到:%System%\Wins\Dllhost.exe 注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Winnt\System32 (Windows 2000) 或 C:\Windows\System32 (Windows XP)。 复制 %System%\Dllcache\Tftpd.exe 文件成为 %System%\Wins\svchost.exe 文件。 将子键 RpcPatch 和 RpcTftpd 加入注册键: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 建立下列服务: 服务名称:RpcTftpd 服务显示名称:网络联机共享 服务二进制文件:%System%\wins\svchost.exe 此服务将设定为手动启动。 服务名称:RpcPatch 服务显示名称:WINS Client 服务二进制文件:%System%\wins\dllhost.exe 此服务将设定为自动启动。 结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\msblast.exe 文件。 此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。 此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。 一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。 在受入侵的主机上建立一个远程 shell,然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。 在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。 检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。 一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。 检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。 专杀工具下载地址: http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.welchia.worm.removal.tool.html |
| B1层 发表时间: 10/12 17:45 |
| 回复: zhb7769 [zhb7769] 论坛用户 |
登录 |
|
我用专杀工具查过了很多次了,什么冲击波变种专杀工具啊,冲击波专杀工具啊,我都试了,你给的也试了,都没有查出来,真奇怪啊? |
| B2层 发表时间: 10/12 18:22 |
 | 回复: ilxc [ilxc] 论坛用户 |
登录 |
|
停掉WINS CLIENT服务后删除DLLHOST文件就可以了 |
| B3层 发表时间: 10/18 09:50 |
 | 回复: liumingl [liumingl]  论坛用户 |
登录 |
|
www.duba.net中有一个“冲击波”专杀工具,我试过了,可以杀除的! |
| B4层 发表时间: 10/18 11:16 |
| 回复: zilong889 [zilong889] 论坛用户 |
登录 |
|
有一个最简单的解决方法,你只要把电脑的日期改成2004年后,重新启动就好啦!但是不要忘了安装杀毒软件阿! |
| B5层 发表时间: 10/18 20:21 |
 | 回复: Seraph [seraph] 论坛用户 |
登录 |
|
我的电脑里的冲击波,金山和瑞星的专杀工具没有杀掉,打了Microsoft的补丁打了,但还是发作过.不知道是什么变种? |
| B6层 发表时间: 10/19 15:50 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 如果你觉得你你真的了解冲击波那就进吧