> 　　8月18日下午，江民科技在网络上截获了最新型病毒“冲击波杀手”。

　　该病毒的特点是将“冲击波”(Worm.Blaster)病毒干掉，并在系统内值入预防冲击波病毒的疫苗。然后这个新病毒会从微软网站下载补丁并自动将受感染的系统打上补丁。然后该病毒会开启大量的线程PING其它IP地址，并通过RPC漏洞快速传播自己，消耗大量CPU和网络资源，造成网络瘫痪。该病毒内部设定在2004年自行毁灭，或许作者是试图以自己的这个程序消灭“冲击波”病毒，但是求胜心切，利用程序自我复制和在网络上大量发送搜索请求，反而使自身成为了一个病毒。

　　江民科技已经在8月18日下午升级了最新的病毒库，KV系列软件用户只需要升级病毒库即可完成对该病毒的查杀。

　　国内领先的信息安全服务提供商江民科技(KV)于8月18日截获“冲击波杀手”病毒，并于当日发布了升级补丁。现公布该病毒分析报告，以供更多同行参考。



　　名称：冲击波杀手



　　级别：紧急！！！





　　后果：可导致电信骨干网络堵塞。



　　已经提供：



　　(1)技术分析报告



　　(2)补丁集合(直接放在KV2004的正版盘，下次刻盘提供)



　　网络惊现“冲击波杀手”网络蠕虫



　　病毒名称：I-Worm/Chian



　　病毒长度：10240字节



　　截获的文件名称：dllhost.exe



　　感染系统：Windows XP,Windows 2000



　　传播途径：利用微软的多重漏洞：



　　(1)利用“冲击波网络蠕虫漏洞”：利用TCP端口135,该补丁同冲击波Microsoft Security Bulletin MS03-026，“冲击波杀手”针对该漏洞攻击的系统是Windows XP;



　　(2)利用Microsoft Security Bulletin MS03-007在端口TCP的80利用WebDav漏洞，攻击的对象是开放了浏览端口WEB(80)的运行微软IIS5.0的机器。



　　和“冲击波病毒I-Worm/Blaster”的关系：



　　从微软的网站自动下载DCOM RPC漏洞，并安装该漏洞，同时在互连网上搜索所有可能感染了冲击波病毒I-Worm/Blaster的机器，试图删除冲击波病毒，接着重新启动计算机。



　　感染方式：发送ICMP响应信号，或者发送PING命令来感染互连网上存在病毒的机器。



　　症状文件：删除“冲击波I-Worm/Blaster”，删除主文件msblast.exe后果：1)导致系统不稳定运行：由于RPC漏洞的原因导致WINDOWS 2000的机器非常不稳定，重新启动、死机等。



　　2)在所有感染机器上安装一个FTP服务端：文件大小是19728字节，文件名称：svchost.exe .



　　影响的端口：TCP 135,TCP 80.



　　病毒具体特征：



　　当该网络蠕虫被运行后，将自身拷贝到WINDOWS系统目录下，并建立一个目录Wins，以文件名称Dllhost.exe存放。



　　病毒文字特征：



　　该病毒体内保存字符串：



　　============I love my wife & baby 🙂 ~~~ Welcome Chian~~~ ,Notice: 2004 will remove myself:)~~ sorry zhongli~~~========



　　大致的中文意思：我爱我的妻子和宝贝，欢迎Chian(病毒名称由此而来)，注意：2004年自己将自动删除。



　　同时将系统Dllcache正常的FTP文件改名称换目录保存在Wins\svchost.exe=



　　江民KV杀毒软件用户无须任何专杀工具或手动清除措施，只需要升级一下病毒库即可查杀。



　　更多信息，请随时关注江民科技网站www.jiangmin.com或致电010-82511177