病毒简介

　　病毒名称：Win32.Nachi.A 　　其它名称：MS03-026 Exploit.Trojan,W32.Welchia.Worm (Symantec 　　病毒属性：蠕虫病毒 危害性：低危害 流行程度：中

具体介绍

　　冠群金辰病毒响应小组今日截获到一种新的利用RPC漏洞的病毒。此病毒包含两部分： 　　* DLLHOST.EXE - 10,240 字节长度，主要的利用rpc漏洞传播的程序。 　　* SVCHOST.EXE - 19,728 字节长度，此文件就是系统提供的FTP服务程序。被病毒改名为SVCHOST.EXE。 　　病毒一旦通过漏洞传播过来并被激活，病毒将创建一个名为"RpcPatch_Mutex"的互斥体来避免重复感染。而后将会在被感染的系统中使用以上两个程序建立两个服务进程，以便进行进一步的传播。 　　病毒修改以下注册表健值： 　　HKLM\System\CurrentControlSet\Services\RpcTftpd\ImagePath = "%System%\wins\svchost.exe" 　　HKLM\System\CurrentControlSet\Services\RpcPatch\ImagePath = "%System%\wins\DLLHOST.EXE" 　　此病毒最大的特点是针对“冲击波（msblaster）”： 　　病毒下一步会搜索以"MSBLAST.EXE"命名的进程。一旦找到，此进程将被终止，然后在系统目录中查这个文件并将其删除。在清除“冲击波”后，病毒将在被感染机器上建立自己的访问通道。之后，病毒将根据染毒机器的版本、语言及service pack版本从微软的网站下载补丁文件并进行安装。 　　http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe 　　....... 　　http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe 　　http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe 　　病毒采用的传播手段与“冲击波”大致相同，通过相同的漏洞查找感染目标机器，之后使用TCP 707端口建立远程连接，成功后先测试"microsoft.com" 是否能够正常访问，假如可以则向被感染机器发送指令进行下一轮的传播过程。 　　病毒将会在2004年将其自身删除。