病毒名称(中文):
冲击波克星
病毒别名:
冲击波杀手
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
10240
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
病毒利用RPC漏洞进行传播。会尝试清除“冲击波”病毒。病毒采用UPX压缩。
1、自我复制到%system%\Wins\Dllhost.exe
2、制作系统文件Tftp.exe的复本到%system%\Wins\文件夹下,名为svchost.exe
3、创建FTP服务和WinsClient服务
其中FTP服务开启系统的FTP功能用传播病毒
WinsClinet服务用于病毒随机启动
ServiceName:RpcTftpd
ServiceDisplayName:NetworkConnectionsSharing
ServiceBinary:%System%\wins\svchost.exe
ServiceName:RpcPatch
ServiceDisplayName:WINSClient
ServiceBinary:%System%\wins\dllhost.exe
4、尝试清除系统中的“冲击波”(Worm.Msblast)病毒
5、病毒使用Ping命令或ICMPecho方式探测随机产生的IP地址是否有效,假如有效开始进行攻击
6、在受感染的系统中随机使用666-765端口与攻击系统进行连接
7、在攻击系统中启动TFTP服务,然后指示受感染系统连接FTP服务器并下载病毒
8、检查系统版本和微软补丁包的版本号,然后根据不同的操作系统尝试从微软下载有关RPC漏洞的补丁程序,并自动运行补丁程序,给系统打上RPC漏洞的补丁
9、检查系统时间,假如年份是2004年,病毒会自我清除。
