病毒一旦通過漏洞傳播過來並被激活,病毒將創建一個名為"RpcPatch_Mutex"的互斥體來避免重複感染。而後將會在被感染的系統中使用以上兩個程式建立兩個服務進程,以便進行進一步的傳播。
基本介紹
- 中文名:Win32.Nachi.A
- 病毒屬性:蠕蟲病毒
- 危害性:低危害
- 流行程度:中
病毒簡介,具體介紹,
病毒簡介
病毒名稱:Win32.Nachi.A
其它名稱:MS03-026 Exploit.Trojan,W32.Welchia.Worm (Symantec
具體介紹
冠群金辰病毒回響小組今日截獲到一種新的利用RPC漏洞的病毒。此病毒包含兩部分:
* DLLHOST.EXE - 10,240 位元組長度,主要的利用rpc漏洞傳播的程式。
* SVCHOST.EXE - 19,728 位元組長度,此檔案就是系統提供的FTP服務程式。被病毒改名為SVCHOST.EXE。
病毒修改以下註冊表健值:
HKLM\System\CurrentControlSet\Services\RpcTftpd\ImagePath = "%System%\wins\svchost.exe"
HKLM\System\CurrentControlSet\Services\RpcPatch\ImagePath = "%System%\wins\DLLHOST.EXE"
此病毒最大的特點是針對“衝擊波(msblaster)”:
病毒下一步會搜尋以"MSBLAST.EXE"命名的進程。一旦找到,此進程將被終止,然後在系統目錄中查這個檔案並將其刪除。在清除“衝擊波”後,病毒將在被感染機器上建立自己的訪問通道。之後,病毒將根據染毒機器的版本、語言及service pack版本從微軟的網站下載補丁檔案並進行安裝。
http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
.......
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
病毒採用的傳播手段與“衝擊波”大致相同,通過相同的漏洞查找感染目標機器,之後使用TCP 707連線埠建立遠程連線,成功後先測試"microsoft.com" 是否能夠正常訪問,如果可以則向被感染機器傳送指令進行下一輪的傳播過程。
病毒將會在2004年將其自身刪除。