本内容由Nsfocus安全小组提供
该蠕虫大小为10240字节。用VC 6.0编译,upx 压缩。
蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置为:“Network Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将自身拷贝到%systemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示名称设为“WINS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用程序也可以看到。
然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的“0xAA”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。
该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。
蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。
有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。
蠕虫代码中还包含以下数据:=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins
(网友VirusBOy提供)如果把范围放宽一点的话,这个蠕虫几乎算的上是一个良性病毒。他的唯一危害就是发送大量的数据包,这样很消耗网络. 但是带来的好处似乎更多.一方面加强了安全意识,一方面也打上了补丁,还清除了冲击波。
而且编辑怀疑此病毒为中国人所写。
第1:从病毒所包含的数据中的名字看出作者为中国人或者韩国人.是中国人的比例更大。
第2:晚上我和一个远在西班牙的朋友聊天时,他问我发现国内的ICMP数据包很混乱没有?他这么一说,我才发现这2天,经常有人在ICMP FLOOD(防火墙是这么报的)。他说他在西班牙和英国,美国都没有发现这么严重的问题.他预料将有大事发生。我想也许又是那个变种吧。从以上来看病毒源在中国的比例占30%。
第3:对于日文版的漏洞机器,他没有打补丁,说明也许是对日本的一种偏见。一般对日本国家有偏见的为中国和韩国尤为强烈。但是韩国病毒技术比较高的多为组织,此病毒明显看出是个人所写。所以中国又占很大比例。
第4:作者的年龄应该在30岁以下,从BABY可以看出来.相信没有人把自己10岁儿子还叫BABY的.除非是情人。从病毒来看,此人老练成熟,如果是年轻人写病毒,肯定多少会添加点破坏性在里面.至少对日本应该这样,既然作者想到日本的话。
并且这个蠕虫病毒设定了自动消除期限,到2004年会自动消除。
网友评论