病毒名称:
Worm.RPC.Zerg
类别: 蠕虫病毒
病毒资料:
破坏方法:
这是一个利用RPC漏洞进行传播的蠕虫,病毒首先使用RPC漏洞的探测工具探测存在漏洞的机器,IP地址是从病毒包中的几个文本文件中随机选取,病毒修改注册表启动键值如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT CurrentVersion\Windows\load“%CURBASE%\%CURFILE%”
同时注册一个VBE文件,键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT CurrentVersion\Windows\Programs
“com exe bat pif cmd vbe”
RPC漏洞:
漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写操作,这样就导致了内存访问违例,RPC服务进程崩溃。
病毒危害:
遭此病毒攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行,由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息,此病毒就是利用这个原理来进行传播。
此病毒能够感染的系统
windows 2000 sp 3
windows 2000 sp 4
windows 2000 sp 4+ms03-026
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-8-12