病毒描述:
该病毒是WORM_MSBLAST.A的新变种,运行后,将自身副本DLLHOST.EXE(大约10KB)复制到目录%System%\wins下,然后创建服务“WINS Client”。
(提示:系统中原有正常DLLHOST.EXE文件,大小约6KB)
病毒还将TFTPD.EXE文件复制到%System%\Wins目录下,并改名为SVCHOST.EXE,创建服务“Network Connections Sharing”。
TFTPD.EXE(改名后为SVCHOST.EXE)是被病毒用来开启FTP服务的工具,被攻击的计算机可以用它来下载病毒副本到本地。
病毒创建的服务使得病毒在计算机启动时自动运行,监听被感染计算机的707端口。
病毒创建了一个排斥体“RpcPatch_Mutex”来防止在内存中出现多个病毒进程。
病毒的传播:
病毒传播类似MSBLAST,利用RPC DCOM缓冲溢出漏洞来进行传播,并对目标计算机发出指令,使其通过TFTP来下载病毒副本。不过新的变种还利用了WebDAV漏洞来探测未打补丁的易感染计算机,所以请用户也及时安装补丁Microsoft Bulletin MS03-007。
因此,再次强烈建议没有安装相应补丁的用户赶快下载相应的补丁来安装!
病毒运行在Windows2000和XP上,不过病毒会在当系统时间是2004年的时候自动除去其自身创建的服务并删除病毒文件。
另外在病毒体中发现以下信息:
=========== I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli~~~=========== wins
下载补丁程序
病毒会给没有安装上RPC DCOM漏洞补丁的操作系统下载并安装上补丁程序。病毒首先检查操作系统版本和系统信息,然后从Microsoft®网站上下载相应补丁程序并安装,安装完成后会重新启动计算机。
解决方法:
“开始”>“运行”,输入“CMD”,打开“命令行”窗口,在命令行窗口中输入:
NET STOP “Network Connections Sharing”
回车,会有服务被成功停止的信息出现。
再输入:
NET STOP “WINS Client”
回车,然后关闭“命令行”窗口,病毒服务被除去。
“开始”>“运行”,输入“REGEDIT”,打开“注册表编辑器”,以此找到键值:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
在左边的子键中删除以下子键:
RpcPatch
RpcTftpd
