| W32.Blaster.Worm是一种利用DCOM RPC漏洞进行传播的网络蠕虫,其传播能力很强。感染蠕虫的计算机系统运行不稳定,系统会不断重启。并且该蠕虫还将对windowsupdate.com进行拒绝服务攻击,使得受害用户不能及时地得到这个漏洞的补丁。如下图所示,当W32.Blaster.Worm运行时,会进行以下操作。
|
|
|
|
|
|
|
| (1)创建一个名为BILLY的互斥体。如果这个互斥体存在,蠕虫将放弃感染并退出。
|
|
|
|
|
| "windows auto update"="msblast.exe"
|
|
|
|
|
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
|
|
|
|
|
| (3)蠕虫生成攻击IP地址列表,尝试去感染列表中的计算机,蠕虫对有DCOM RPC漏洞的机器发起TCP 135端口的连接,进行感染。
|
|
|
| (4)在TCP 4444端口绑定一个cmd.exe的后门。
|
|
|
| (5)在UDP port 69口上进行监听。如果收到了一个请求,将把Msblast.exe发送给目标机器。
|
|
|
| (6)发送命令给远端的机器使它回联已经受到感染的机器并下载Msblast.exe。
|
|
|
| (7)检查当前日期及月份,若当前日期为16日或以后,或当前月份处在9月到12月之间,则W32.Blaster.Worm蠕虫将对windowsupdate.com发动TCP同步风暴拒绝服务攻击。
|
|
|
