| “异形(Worm.Rpc.Zerg)”病毒 |
|
· 2003-9-27 · 浏览人数:419
|
| 请记下上海电脑维修上门服务电话:021-61121021,以备急用!(嘉定,青浦,普陀,闵行,松江)
|
| 这是一个利用RPC漏洞进行传播的蠕虫
病毒首先使用RPC漏洞的探测工具探测存在漏洞的机器,IP地址是从病毒包中的几个文本文件中随机
选取,病毒修改注册表启动键值如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
“%CURBASE%\%CURFILE%”
同时注册一个VBE文件,键值为:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Programs
“com exe bat pif cmd vbe”
<而系统默认的可执行文件为:com exe bat pif cmd>
RPC漏洞:
漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包
导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数
有有效性检查,在后续中就直接引用了此地址(此时为0)做读写操作,这样就导致了内存访
问违例,RPC服务进程崩溃。
病毒危害:
遭此病毒攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地
连接等,一些基于RPC,DCOM的服务与应用将无法正常运行,由于RPC服务是MS WINDOWS中一个
重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默
认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃
以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息,
此病毒就是利用这个原理来进行传播
此病毒能够感染的系统
windows 2000 sp 3
windows 2000 sp 4
windows 2000 sp 4+ms03-026
|
|
|
| |
|
|
|
|
|
|
|
发表评语
|
| 文章原网址:http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=19535 |
管理通道
|
|
打印本页
发E-mail推荐给朋友