疾風(fēng)病毒出現「疾風(fēng)」 再襲電腦

近來(lái)「疾風(fēng)病毒」將網(wǎng)路用戶(hù)搞得風(fēng)風(fēng)雨雨的，現在又出現新的漏洞駭蟲(chóng)「疾風(fēng)殺手」━Welchi_Worm。該駭蟲(chóng)之所以會(huì )受封「疾風(fēng)殺手」，是因為它會(huì )在入侵後會(huì )關(guān)掉疾風(fēng)病毒Msblast，并自行到微軟更新網(wǎng)站下傳 DCOM/RPC Buffer Overflow 漏洞修補檔進(jìn)行修補。但可別以為它是好心的修復程式，其實(shí)Welchi的用心也在於入侵電腦，并且會(huì )從中毒的電腦自動(dòng)再入侵其它有漏洞的機器，也會(huì )自動(dòng)下傳 Dllhost.exe 到 Windows 的 System32Wins 目錄內執行。

防毒公司金帥表示，「疾風(fēng)殺手」利用二個(gè)已知的系統漏洞 DCOM/RPC Buffer Overflow 漏洞與 IIS 5.0 的 WebDAV 漏洞，分別使用 TCP Port 135 與 80 入侵電腦，受影響的系統包含 Windows 2000/XP 系統。利用系統提供的 tftpd.exe 備份到 Windows 的 System32Wins 目錄內為 Svchost.exe ，并開(kāi)啟 TFTP Service ，讓遠端的電腦可以下傳 Dllhost.exe 駭蟲(chóng)檔案。

目前微軟已提供修補漏洞程式，用戶(hù)若要自行檢查是否中毒，可檢查 Windows 的 System32Wins 目錄內是否有 Dllhost.exe 與 Svchost.exe 檔案，發(fā)現檔案時(shí)可以刪除。但需注意的是，正常的系統檔案 Dllhost.exe 與 Svchost.exe 是存在 Windows 的 System32 目錄內，請勿殺掉。此外，金帥指出，疾風(fēng)殺手在2004年1月1日之後，駭蟲(chóng)功能將不啟動(dòng)。

本文由 CTIMES 同意轉載，原文鏈接:http://www.ctimes.com.tw/DispCols/cn/VIRUS/%E9%87%91%E5%B8%85/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/03081920402L.shtmll