金山解析“蓝色代码”病毒技术特征(2)
　 2001-09-07 14:25:07

　　
　　 冯涛和徐飞也得出，蠕虫不停地读写“C:HttpExt.DLL”，“c:d.vbs”文件同时也写了注册表“SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN”。
　　
　　 孙国君也将d.vbs分析结束，发现该d.vbs会停止系统中.ida、.idq 和 .printer类文件的调用程序映射，目的也是让Web服务器不能正常启用这些文件；由于问题的严重性，陈飞舟继续分析，而李宇雄马上提取病毒特征，升级病毒库，测试人员开始了紧张烦的测试升级包的工作中；冯涛开始编写CodeBlue的专杀工具。
　　
　　 陈飞舟发现该蠕虫创建了一个标准的Windows窗口，同时在窗口收到WM_CREATE消息的时候进行一系列生成svchost.exe，改写注册表，让svchost.exe能在系统启动的时候运行，同时生成c:d.vbs，并运行，停止一部分Web服务，同时判断如果是Windows 2000/XP则将inetinfo.exe进程杀毒，让Web服务器彻底瘫痪，同时根据一定的算法生成IP地址作为攻击传染对象；本来蠕虫希望在每天10点－11点之间启动一个线程访问211.99.196.135网站，不断访问该网站的主页，到该网站一看发现居然是绿盟科技的网站，看样子作者想采用DoS的方式攻击绿盟科技的网站，使得服务器瘫痪。攻击传染的线程在不断地生成中，而且每个生成的线程都会用UNICODE漏洞的各种编码和可能的目录名攻击目标主机，看样子该蠕虫所在地机器迟早会被不断生成的线程拖垮，但是由于条件语句编写的BUG，导致攻击绿盟科技的线程启动不了。
　　
　　 刘海峰找到了蠕虫攻击利用Unicode漏洞的资料，马上将这些资料通报公安部应急处理中心，同时也找到蠕虫相关代码段进行分析；这时也发现同时该蠕虫同时想利用URL的缓冲区溢出方式攻击绿盟的网站。
　　
　　 目前，在升级最新病毒库后，金山毒霸已经可以完成对“蓝色代码”的查杀，专杀“蓝色代码”的小工具也即将完成，供用户免费下载！

|首　页||上一页|