[公告]：冲击波病毒技术分析报告

nxw

病毒名称：I-Worm/Blaster
病毒别名：W32.Blaster.Worm,W32/Lovsan.worm ,Worm.MSblaster,MBlast
病毒类型：网络蠕虫
病毒长度：6,176 bytes
危险级别：高
影响平台：Windows 2000, Windows XP
感染对象：
相关文件：Msblast.exe
病毒描述：该蠕虫病毒利用TCP 135端口，通过 DCOM RPC 漏洞进行攻击。
          在此病毒代码内隐藏一段文本信息：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your

software!!
          当此病毒感染计算机系统后，执行如下操作：
         1.创建一个线程“BILLY”
         2.修改注册表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]增加
"windows auto update"="msblast.exe"键值，使得病毒可以在系统启动时自动运行。
         3.然后按照一定的规则来攻击网络上特点段的机器。
该随机段IP段的机器的所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe
该病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件Msblast.exe 网络蠕虫主

体。
         4.发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe文件

。
         5.如果是8月以后或者当前的系统日期是15号以后，此病毒还试图拒绝

windowsupdate.com服务，以使计算机系统失去更新补丁程序的功能。

解决方案： (1)安装微软系统补丁：2003年7月微软发布：DCOM RPC漏洞
http://www.microsoft.com/technet ... lletin/MS03-026.asp
(2)处理：
关闭TCP端口135
关闭TCP端口4444
关闭UDP端口69

关闭办法：安装相关黑客防火墙（如：江民）或反黑王，在规则设置中添加需要关闭的端口。
(3)及时升级KV系列反病毒软件，打开六套实时监控
(4)其它方法前面已经涉及，在此不再赘述