病毒名称:Win32.Nachi.A
其它名称:MS03-026 Exploit.Trojan,W32.Welchia.Worm(Symantec
病毒属性:蠕虫病毒 危害性:低危害 流行程度:中
具体介绍:
冠群金辰病毒响应小组今日截获到一种新的利用RPC漏洞的病毒。此病毒包含两部分:
* DLLHOST.EXE - 10,240 字节长度,主要的利用rpc漏洞传播的程序。
* SVCHOST.EXE - 19,728 字节长度,此文件就是系统提供的FTP服务程序。被病毒改名为SVCHOST.EXE。
病毒一旦通过漏洞传播过来并被激活,病毒将创建一个名为"RpcPatch_Mutex"的互斥体来避免重复感染。而后将会在被感染的系统中使用以上两个程序建立两个服务进程,以便进行进一步的传播。
病毒修改以下注册表健值:
HKLMSystemCurrentControlSetServicesRpcTftpdImagePath = "%System%winssvchost.exe"
HKLMSystemCurrentControlSetServicesRpcPatchImagePath = "%System%winsDLLHOST.EXE"
此病毒最大的特点是针对“冲击波(msblaster)”:
病毒下一步会搜索以"MSBLAST.EXE"命名的进程。一旦找到,此进程将被终止,然后在系统目录中查这个文件并将其删除。在清除“冲击波”后,病毒将在被感染机器上建立自己的访问通道。之后,病毒将根据染毒机器的版本、语言及service pack版本从微软的网站下载补丁文件并进行安装。
http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
.......
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
病毒采用的传播手段与“冲击波”大致相同,通过相同的漏洞查找感染目标机器,之后使用TCP 707端口建立远程连接,成功后先测试"microsoft.com" 是否能够正常访问,如果可以则向被感染机器发送指令进行下一轮的传播过程。
病毒将会在2004年将其自身删除。