手脑并用  学做合一
陈毅

CCERT关于防范Nachi病毒变种的安全公告

【时间:2004年02月25日 00:00】 【栏目:通知与公告 【来源:cecnet】 【编审:党委宣传部】
病毒名称:Nachi.B 蠕虫别名:W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersky], W32.Welchia.b.Worm[Symantec] 感染系统:Windows 2000, Windows XP 蠕虫信息:Nachi.B是Nachi蠕虫的一个最新变种,这个蠕虫会判断操作系统的版本,如果系统版本是中文简体、中文繁体、韩文、英文的话,蠕虫会试图从微软的update服务器上下载windows信使服务缓冲溢出漏洞与windows系统的Workstation服务缓冲溢出漏洞的补丁程序安装并重新启动系统。同时这个蠕虫还会清除W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫。 Nachi.B蠕虫利用了以下几个漏洞进行传播: 1、Microsoft RPC接口远程任意代码可执行漏洞,漏洞使用TCP 135端口。如果操作系统是winxp,蠕虫会使用该漏洞传播。 2、Microsoft IIS 5.0缓冲区溢出漏洞,漏洞使用TCP 80端口。如果系统中安装有IIS5.0的话,蠕虫会利用这个漏洞传播。 3、windows系统的Workstation服务缓冲溢出漏洞,漏洞使用TCP 445端口。 4、Microsoft Windows Locator服务远程缓冲区溢出漏洞,漏洞使用TCP 445端口,如果系统是win2000,蠕虫会利用该漏洞传播。 如果你的系统中%Windir%\system32\drivers\目录下存在svchost.exe文件,就表明你的系统已经被感染了。 详情参见:http://www.ccert.edu.cn/announce/show.php?handle=100