破坏方法:一个利用DCOM RPC漏洞进行传播的蠕虫。该病毒运行后.建立一个名为“BILLY”的互斥量,将自己复制到window目录下。文件名为:msblast.exe并在注册表加入自己的键值。
病毒以20秒为间隔,检测网络状态。当网络可用时。
该病毒自己建立一个tftp服务器。并用启动一个攻击传播线程。不断的随机
生成攻击地址,尝试利用DCOM RPC漏洞进行传播(端口:135)当被攻击系统存在漏洞时,将执行病毒的shell代码。利用tftp从攻击方这下载病毒复本到%system% 目录并执行。
病毒本内有一段文本信息:
I just want to say LOVE YOU SAN!!billy gates why do you make this possible ?
Stop making money and fix your software!!
2.Worm.Blaster
破坏方法:一个利用DCOM RPC漏洞进行传播的蠕虫.
该病毒运行后.建立一个名为“BILLY”的互斥量.将自己复制到window目录下。
文件名为:msblast.exe并在注册表加入自己的键值。
病毒以20秒为间隔,检测网络状态。当网络可用时。
该病毒自己建立一个tftp服务器。并用启动一个攻击传播线程。不断的随机生成攻击地址,尝试利用DCOM RPC漏洞进行传播(端口:135)当被攻击系统存在漏洞时,将执行病毒的shell代码。利用tftp从攻击方这下载病毒复本到%system% 目录并执行。
病毒本内有一段文本信息:
I just want to say LOVE YOU SAN!!billy gates why do you make this possible ?
Stop making money and fix your software!!
3.Worm.Blaster.enc
破坏方法:一个利用DCOM RPC漏洞进行传播的蠕虫.
该病毒运行后.建立一个名为“BILLY”的互斥量.将自己复制到window目录下。
文件名为:msblast.exe并在注册表加入自己的键值。
病毒以20秒为间隔,检测网络状态。当网络可用时。
该病毒自己建立一个tftp服务器。并用启动一个攻击传播线程。不断的随机生成攻击地址,尝试利用DCOM RPC漏洞进行传播(端口:135)当被攻击系统存在漏洞时,将执行病毒的shell代码。利用tftp从攻击方这下载病毒复本到%system% 目录并执行。
病毒本内有一段文本信息:
I just want to say LOVE YOU SAN!!billy gates why do you make this possible ?
Stop making money and fix your software!!
4.Trojan.SdBot.05b.Pak
破坏方法:这是一个LCC编写的木马,经过工具压缩,打开并监听TCP端口
启动方式:
病毒从注册表启动,相应的注册表键值如下:
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Configuration Loader %CURFILE%
HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Configuration Loader%CURFILE%
5.Exploit.DCom.b
破坏方法:探测RPC漏洞的工具
6.Exploit.DCom.c
破坏方法:探测RPC漏洞的工具
脚本病毒(3)
7.Worm.RPC.Zerg
破坏方法:这是一个利用RPC漏洞进行传播的蠕虫,病毒首先使用RPC漏洞的探测工具探测存在漏洞的机器,IP地址是从病毒包中的几个文本文件中随机选取,病毒修改注册表启动键值如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\load“%CURBASE%\%CURFILE%”
同时注册一个VBE文件,键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\Programs “com exe bat pif cmd vbe”
<而系统默认的可执行文件为:com exe bat pif cmd>
RPC漏洞:
漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写操作,这样就导致了内存访
问违例,RPC服务进程崩溃。
病毒危害:
遭此病毒攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行,由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息,此病毒就是利用这个原理来进行传播。
此病毒能够感染的系统
windows 2000 sp 3
windows 2000 sp 4
windows 2000 sp 4+ms03-026
8.Wrom.RPC.Zerg.Cleanup
破坏方法:这个VBE脚本先清除内存中的下列进程
n.exe
RSDD.exe
hftp.exe
scan.exe
rpc.exe
rn.exe
rscan.exe
SlimFTPd.exe
然后开始启动病毒“Worm.RPC.Zerg”进行感染和传播。
9.Worm.RPC.Zerg.up
破坏方法:这是病毒“Worm.RPC.Zerg”的自动更新的脚本,病毒启动后将使用FTP工具从指定站点下载病毒的最新版。
普通文件病毒(3)
10.Worm.RPC.Zerg.a
破坏方法:这是一个利用微软操作系统RPC漏洞传播的蠕虫,此文件本身是一个自释放的压缩包,执行后将释放下列文件或下列文件中的部分文件:
ii.vbe ---病毒的主要功能执行模块
rn.exe ---网络工具nc.exe
rrpc.exe ---探测RPC漏洞的工具
rrpc.vbe ---病毒的自动更新模块
rscan.exe ---探测RPC漏洞的工具
RSDD.EXE ---后门病毒
zerg.vbe ---病毒运行前执行的清理模块
hftp.exe ---第三方的ftp工具
SlimFTPd.exe ---第三方的ftp工具
slimftpd.conf ---SlimFTPd.exe的配置文件
1.txt ---包含IP地址网络号的文本文件
2.txt ---包含IP地址网络号的文本文件
3.txt ---包含IP地址网络号的文本文件
4.txt ---包含IP地址网络号的文本文件
5.txt ---包含IP地址网络号的文本文件
11.Worm.RPC.Zerg.b
破坏方法:这是一个利用微软操作系统RPC漏洞传播的蠕虫,此文件本身是一个自释放的压缩包,执行后将释放下列文件或下列文件中的部分文件:
ii.vbe ---病毒的主要功能执行模块
rn.exe ---网络工具nc.exe
rrpc.exe ---探测RPC漏洞的工具
rrpc.vbe ---病毒的自动更新模块
rscan.exe ---探测RPC漏洞的工具
RSDD.EXE ---后门病毒
zerg.vbe ---病毒运行前执行的清理模块
hftp.exe ---第三方的ftp工具
SlimFTPd.exe ---第三方的ftp工具
slimftpd.conf ---SlimFTPd.exe的配置文件
1.txt ---包含IP地址网络号的文本文件
2.txt ---包含IP地址网络号的文本文件
3.txt ---包含IP地址网络号的文本文件
4.txt ---包含IP地址网络号的文本文件
5.txt ---包含IP地址网络号的文本文件
12.Worm.RPC.Zerg.c
破坏方法:这是一个利用微软操作系统RPC漏洞传播的蠕虫,此文件本身是一个自释放的压缩包,执行后将释放下列文件或下列文件中的部分文件:
ii.vbe ---病毒的主要功能执行模块
rn.exe ---网络工具nc.exe
rrpc.exe ---探测RPC漏洞的工具
rrpc.vbe ---病毒的自动更新模块
rscan.exe ---探测RPC漏洞的工具
RSDD.EXE ---后门病毒
zerg.vbe ---病毒运行前执行的清理模块
hftp.exe ---第三方的ftp工具
SlimFTPd.exe ---第三方的ftp工具
slimftpd.conf ---SlimFTPd.exe的配置文件
1.txt ---包含IP地址网络号的文本文件
2.txt ---包含IP地址网络号的文本文件
3.txt ---包含IP地址网络号的文本文件
4.txt ---包含IP地址网络号的文本文件
5.txt ---包含IP地址网络号的文本文件
