Worm.RPC.Zerg
2008-02-23 09:19:11来源:互联网 阅读 ()
病毒名称:
Worm.RPC.Zerg
类别: 蠕虫病毒
病毒资料:
破坏方法:
这是一个利用RPC漏洞进行传播的蠕虫,病毒首先使用RPC漏洞的探测工具探测存在漏洞的机器,IP地址是从病毒包中的几个文本文件中随机选取,病毒修改注册表启动键值如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\load“%CURBASE%\%CURFILE%”
同时注册一个VBE文件,键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\Programs
“com exe bat pif cmd vbe”
<而系统默认的可执行文件为:com exe bat pif cmd>
RPC漏洞:
漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写操作,这样就导致了内存访问违例,RPC服务进程崩溃。
病毒危害:
遭此病毒攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行,由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息,此病毒就是利用这个原理来进行传播。
此病毒能够感染的系统
windows 2000 sp 3
windows 2000 sp 4
windows 2000 sp 4 ms03-026
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-8-12
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Sobig.f
下一篇:Worm.RPC.Zerg.a
- Worm.RPC.Zerg.b 2008-02-23
- Worm.RPC.Zerg.c 2008-02-23
- Worm.RPC.Zerg.a 2008-02-23
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
