6,849
社区成员
发帖
与我相关
我的任务
分享DLLHOST是什么玩意
哈哈,昨天竟然让我上不了CSDN,现象是一点进入就转到了一个不知道的网址,呵呵,我首先判断有病毒,结果杀毒,找到冲击波病毒worm.welchia,然后感染DLLHOST文件,结果是删除文件,这样之后就正常了。有谁能告诉我这是什么东东。
...全文
请发表友善的回复…
发表回复
Davelu 2003-09-03
- 打赏
- 举报
病毒文字特征:
该病毒体内保存字符串:
============I love my wife & baby :) ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself:)~~ sorry zhongli~~~========
大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe.
创建系统进程:RpcTftpd,显示名称为:Network Connections Sharing(网络连接共享);指向的路径是:系统SYSTEM目录下wins下的文件svchost.exe。该服务被设置成手动启动;
同时也设置另外的服务名称:RpcPatch,服务显示的文件名字是:WINS Client,指向的路径是:系统SYSTEM目录下wins下的文件dllhost.exe.该进程就是病毒的主进程,被设置成自动启动,因此当系统启动后,该病毒能自动运行。接着该病毒会自动结束系统进程里的冲击波病毒Msblast,同时删除SYSTEM目录下的冲击波病毒文件msblast.exe.
该网络蠕虫会自动随着冲击波病毒传播的方向(感染了冲击波的机器)来传播、清除“冲击波病毒”。寻找机器采用两种方式:
(1)如果感染的机器的地址是1.2.3.4(只是示范例子),那么病毒会自动从该段的地址1.2.0.0开始搜索,一直到1.2.255.255.
(2)以病毒体内内置的方式产生随机可攻击的机器。
搜索到指定的机器后,该病毒首先采用最简单的PING命令或者ICMP响应协议来判断该机器是否存在于网络上,而且该机器是否开机,如果检测到该机器开机,然后对该机器通过TCP 135端口利用DCOM RPC漏洞(冲击波利用的漏洞);或者通过另外的WebDav漏洞(端口是TCP的80端口)。如果这些条件满足,病毒能在攻击者和受害机器间建立连接,并能使受感染的机器接受外界的指令。启动TFTP的服务,引导存在漏洞的机器从发起攻击的机器上下载病毒文件dllhost.exe 和FTP文件svchost.exe(如果机器上有该文件的话,则不下载该文件)检查系统的操作系统版本、补丁号、系统表明所属的区域,并自动连接到微软的UPDATE网站自动下载DCOM RPC漏洞补丁包(从根本上可防止冲击波病毒),该病毒还自动重新机器,以使得该DCOM RPC补丁包自动有效。
当系统的日期是2004年,该蠕虫会自动设置失效。这点从以上的英文文字描述中可见一斑。
该病毒体内保存字符串:
============I love my wife & baby :) ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself:)~~ sorry zhongli~~~========
大致的中文意思:我爱我的妻子和宝贝,欢迎Chian(病毒名称由此而来),注意:2004年自己将自动删除。
同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe.
创建系统进程:RpcTftpd,显示名称为:Network Connections Sharing(网络连接共享);指向的路径是:系统SYSTEM目录下wins下的文件svchost.exe。该服务被设置成手动启动;
同时也设置另外的服务名称:RpcPatch,服务显示的文件名字是:WINS Client,指向的路径是:系统SYSTEM目录下wins下的文件dllhost.exe.该进程就是病毒的主进程,被设置成自动启动,因此当系统启动后,该病毒能自动运行。接着该病毒会自动结束系统进程里的冲击波病毒Msblast,同时删除SYSTEM目录下的冲击波病毒文件msblast.exe.
该网络蠕虫会自动随着冲击波病毒传播的方向(感染了冲击波的机器)来传播、清除“冲击波病毒”。寻找机器采用两种方式:
(1)如果感染的机器的地址是1.2.3.4(只是示范例子),那么病毒会自动从该段的地址1.2.0.0开始搜索,一直到1.2.255.255.
(2)以病毒体内内置的方式产生随机可攻击的机器。
搜索到指定的机器后,该病毒首先采用最简单的PING命令或者ICMP响应协议来判断该机器是否存在于网络上,而且该机器是否开机,如果检测到该机器开机,然后对该机器通过TCP 135端口利用DCOM RPC漏洞(冲击波利用的漏洞);或者通过另外的WebDav漏洞(端口是TCP的80端口)。如果这些条件满足,病毒能在攻击者和受害机器间建立连接,并能使受感染的机器接受外界的指令。启动TFTP的服务,引导存在漏洞的机器从发起攻击的机器上下载病毒文件dllhost.exe 和FTP文件svchost.exe(如果机器上有该文件的话,则不下载该文件)检查系统的操作系统版本、补丁号、系统表明所属的区域,并自动连接到微软的UPDATE网站自动下载DCOM RPC漏洞补丁包(从根本上可防止冲击波病毒),该病毒还自动重新机器,以使得该DCOM RPC补丁包自动有效。
当系统的日期是2004年,该蠕虫会自动设置失效。这点从以上的英文文字描述中可见一斑。
Davelu 2003-09-03
- 打赏
- 举报
病毒名称:I-Worm/Chian
病毒长度:10240字节
截获的文件名称:dllhost.exe
感染系统:Windows XP,Windows 2000
传播途径:利用微软的多重漏洞:
(1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该漏洞补丁是微软Microsoft Security Bulletin MS03-026,“冲击波杀手”也利用该漏洞。攻击的系统是Windows XP;
(2)利用Microsoft Security Bulletin MS03-007漏洞,在TCP的80端口,利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
和“冲击波病毒I-Worm/Blaster”的关系:
从微软的网站自动下载并安装DCOM RPC漏洞补丁,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,接着重新启动计算机。
感染方式:发送ICMP响应信号,或者发送PING命令来探测互连网上存在的机器,利用在135端口存在的漏洞来发送病毒文件。
症状:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe。
后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .
影响的端口:TCP 135,TCP 80.
病毒具体特征:
当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。
病毒长度:10240字节
截获的文件名称:dllhost.exe
感染系统:Windows XP,Windows 2000
传播途径:利用微软的多重漏洞:
(1)利用“冲击波网络蠕虫漏洞”:利用TCP 端口135,该漏洞补丁是微软Microsoft Security Bulletin MS03-026,“冲击波杀手”也利用该漏洞。攻击的系统是Windows XP;
(2)利用Microsoft Security Bulletin MS03-007漏洞,在TCP的80端口,利用WebDav漏洞,攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。
和“冲击波病毒I-Worm/Blaster”的关系:
从微软的网站自动下载并安装DCOM RPC漏洞补丁,同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器,试图删除冲击波病毒,接着重新启动计算机。
感染方式:发送ICMP响应信号,或者发送PING命令来探测互连网上存在的机器,利用在135端口存在的漏洞来发送病毒文件。
症状:删除“冲击波I-Worm/Blaster”,删除主文件msblast.exe。
后果:1)导致系统不稳定运行:由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定,重新启动、死机等。
2)在所有感染机器上安装一个FTP服务端:文件大小是19728字节,文件名称:svchost.exe .
影响的端口:TCP 135,TCP 80.
病毒具体特征:
当该网络蠕虫被运行后,将自身拷贝到WINDOWS系统目录下,并建立一个目录Wins,以文件名称Dllhost.exe存放。
icuc88 2003-09-03
- 打赏
- 举报
如果在%systemroot%\system32\wins下面,冲击波病毒。
