最近一个MSBLAST蠕虫 http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=28 搞得互联网沸沸扬扬,前几天在各大论坛看到一大堆人说自己机器重起、svchost.exe出错等等,其实就是中了这么个蠕虫。我的机器订阅了Windows Update服务 http://windowsupdate.microsoft.com/ ,并且有安装防火墙,所以没有中标。现在便利的互联网是蠕虫的温床,一有蠕虫就是刷刷刷全世界一起发作,大家都在同一条Internet贼船上:)其实我们可以考虑这么一种蠕虫,在网络上传播,找到有漏洞的机器或者已经中某种蠕虫的机器,进入该机器,杀死该种蠕虫,并且自动修复机器,删除自身。利用蠕虫的传播途径来做好事,是不是应该成为好蠕虫?就好像Matrix II议员对Neo说的:These machines are keeping us alive, while other machines are coming to kill us.

利用DCOM RPC溢出和WebDAV溢出的蠕虫 http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=29 这个蠕虫好像看起来就是一个好蠕虫(其实危害也是挺大的,首先该蠕虫会发送大量ICMP数据包,阻塞正常网络通信,危害很大。该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。),里面有一些好玩的东西:

蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。

仇日者?

蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。

_该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。

蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)。。。 Welcome Chian。。。 Notice: 2004 will remove myself:)~~ sorry zhongli。。。=========== wins_