病毒名称:Nachi.B
蠕虫别名:W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos],
Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend],
Worm.Win32.Welchia.b [Kaspersky], W32.Welchia.b.Worm[Symantec]
感染系统:Windows 2000, Windows XP
蠕虫信息:Nachi.B是Nachi蠕虫的一个最新变种,这个蠕虫会判断操作系统的版本,如果系统版本是中文简体、中文繁体、韩文、英文的话,蠕虫会试图从微软的update服务器上下载windows信使服务缓冲溢出漏洞与windows系统的Workstation服务缓冲溢出漏洞的补丁程序安装并重新启动系统。同时这个蠕虫还会清除W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫。
Nachi.B蠕虫利用了以下几个漏洞进行传播:
1、Microsoft RPC接口远程任意代码可执行漏洞,漏洞使用TCP 135端口。如果操作系统是winxp,蠕虫会使用该漏洞传播。
2、Microsoft IIS 5.0缓冲区溢出漏洞,漏洞使用TCP 80端口。如果系统中安装有IIS5.0的话,蠕虫会利用这个漏洞传播。
3、windows系统的Workstation服务缓冲溢出漏洞,漏洞使用TCP 445端口。
4、Microsoft Windows Locator服务远程缓冲区溢出漏洞,漏洞使用TCP 445端口,如果系统是win2000,蠕虫会利用该漏洞传播。
如果你的系统中%Windir%\system32\drivers\目录下存在svchost.exe文件,就表明你的系统已经被感染了。
详情参见:http://www.ccert.edu.cn/announce/show.php?handle=100