根据全球著名反病毒厂商和机构的最新安全公告，一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞的蠕虫正在传播，该蠕虫会发送大量ICMP数据包，阻塞正常网络通信，危害很大。可参看：
http://vil.nai.com/vil/content/v_100559.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
   
    因为该漏洞影响所有没有安装MS03-026补丁的Windows 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。



Nachi蠕虫病毒的防范措施

一、 受影响的操作系统
    Microsoft Windows 2000
    Microsoft Windows XP
    Microsoft Windows 2003

二、 利用端口
    1：dcom rpc漏洞 使用漏洞端口 135 
    2：WEBDAV漏洞 使用漏洞端口 80 

三、 病毒描述
    该蠕虫大小为10240字节。用VC 6.0编译，upx 压缩。
   
    蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe，创建服务“RpcTftpd”，显示名称设置为：“Network Connections Sharing”，并将MSDTC服务的描述信息复制给自己；再将自身拷贝到%systemroot%\system32\wins\dllhost.exe，创建服务“RpcPatch”，显示名称设为“WINS Client”，并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后，用net start命令可以看到，用其他服务管理实用程序也可以看到。
    
   然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁，并用-n -o -z -q的参数来安装，-n表示不创建备份文件，-o表示覆盖文件不提示，-z表示安装完后不重新启动，-q表示安静模式。如果是日文版，则不作修复。

   检测是否有名为“RpcPatch_Mute”的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。

   蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机，发送的ICMP报文类型为echo，总大小为92字节，数据区为64字节的“0xAA”。由于发送的ICMP流量很大，可导致网络阻塞。这是蠕虫的主要危害。
一旦找到存活主机，就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口，等待目标主机回连，连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，则“copy dllcache\tftpd.exe wins\svchost.exe”，如果没有，就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功，若成功，就执行，不成功则退出。

   该蠕虫还利用了WebDAV漏洞，如果目标主机存在该漏洞，既使在防火墙上阻塞了TCP/135端口，也会受影响。

   蠕虫会检测系统时间，如果系统时间是2004年，就自动清除自身。
而且值得注意的是，该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程，如果有就将其清除，如果system32目录下有msblast.exe文件，就删除。
蠕虫代码中还包含以下数据：
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins

                                                                 下一页