病毒别名:W32.Blaster.Worm,W32/Lovsan.worm ,Worm.MSblaster,MBlast
病毒类型:网络蠕虫
病毒长度:6,176 bytes
危险级别:高
影响平台:Windows 2000, Windows XP
感染对象:
相关文件:Msblast.exe
病毒描述:该蠕虫病毒利用TCP 135端口,通过 DCOM RPC 漏洞进行攻击。
在此病毒代码内隐藏一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your
software!!
当此病毒感染计算机系统后,执行如下操作:
1.创建一个线程“BILLY”
2.修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]增加
"windows auto update"="msblast.exe"键值,使得病毒可以在系统启动时自动运行。
3.然后按照一定的规则来攻击网络上特点段的机器。
该随机段IP段的机器的所有135端口发布攻击代码,成功后,在TCP的端口4444创建cmd.exe。
该病毒还能接受外界的指令,在UDP的端口69上接受指令,发送文件Msblast.exe 网络蠕虫主体。
4.发送指令到远程计算机,使其连接被感染的主机,下载并运行Msblast.exe文件。
5.如果是8月以后或者当前的系统日期是15号以后,此病毒还试图拒绝windowsupdate.com服务,以使计算机系统失去更新补丁程序的功能。
解决方案:
(1)安装微软系统补丁:2003年7月微软发布:DCOM RPC漏洞
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
(2)处理:
关闭TCP端口135
关闭TCP端口4444
关闭UDP端口69
(3)及时升级KV系列反病毒软件,打开六套实时监控。
延伸阅读
文章来源于领测软件测试网 https://www.ltesting.net/
关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073