Worm.Blaster.f.enc

2008-02-23 09:19:56来源：互联网阅读 ()

病毒名称: Worm.Blaster.f.enc 类别：蠕虫病毒病毒资料：破坏方法：

蠕虫使用UPX＋ASPack压缩，是“冲击波”新变种，病毒一旦运行，将进行下列动作：

1. 如果当前日期是16号－31号或当前月份大于8，病毒就会对“tuiasi.ro”进行拒绝服务攻击，这是一个在tuiasi.ro的端口80上的SYN洪水攻击，每秒将发送50个HTTP包，每个包长度为
40个字节。

病毒本内有一段文本信息：

"What You Should Know About the Blaster Worm and Its Variants."

2. 向TCP端口发送DCOM RPC的漏洞攻击包，试图感染远程机器，一旦成功，病毒将在远程机器上建立一个隐藏的shell进程，监听TCP端口4444，等待远程攻击者的命令

3.病毒在攻击操作系统为win2k和winXP的远程机器，攻击时间分配如下：

1/5时间攻击win2k
4/5时间攻击winXp

4.病毒监听本地UDP端口69，用来与远程被感染的机器通讯
附加说明：

RPC漏洞：

漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上，当传送一个特定包导致解析一个结构的指针参数为NULL的时候，__RemotoGetClassObject 未对此结构指针参数有有效性检查,导致缓冲区溢出。

病毒危害：

遭此病毒攻击之后，许多基于RPC的应用无法使用，如使用网络与拨号连接拨号，配置本地连接等，一些基于RPC，DCOM的服务与应用将无法正常运行，由于RPC服务是MS WINDOWS中一个
重要的服务，他开放的135端口同时用于DCOM的认证，epmapper管道用于RPC端点的影射，并默认为系统信任，如果一个攻击者能够以低权限在被攻击机器上运行一个程序，在RPC服务崩溃
以后，就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息，此病毒就是利用这个原理来进行传播

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
"www.hidro.4t.com "="enbiei.exe"
可能导致系统崩溃导致tuiasi.ro的交通堵塞
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2003-9-3

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有