|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2003-09-11, 02:17 PM | #1 |
榮譽會員
|
請教DLLHOST.EXE是病毒嗎?
請教DLLHOST.EXE是病毒嗎?
-------------------------------------------------------------------------------- Q: 我的電腦只要一上網,工作管理列裡就會多出現2∼3個DLLHOST.EXE工作,而且有一個特別占資源!影響到我的機器速度!! 如果是病毒,有什麼辦法能解決?? A: dllhost.exe win2000的話,一般是元件com使用的需要dllhost裝入記憶體。所以dllhost.exe負責asp3.0元件裝入記憶體。iis啟動後。有一個大約20mb左右的dllhost。如果你的web套用程式不能釋放記憶體。如關掉資料庫連接,釋放對象。這個dllhost會越來越大。還有一個dllhost是。web客戶端的。大約5mb左右。用多層構架的概念來理解,就是一個是dllhost存根,一個是dllhost骨幹。com遠端訪問缺一不可。 安裝了MS SQL Server後就會有dllhost這個工作,用來註冊DLL文件。 Q: 謝謝你這麼詳細的解釋,但怎麼解決這個問題呢?我從工作中結束也不行! 我的機器是開了iis管理服務了,剛才我停止了,少了兩個,但還有一個DLLHOST.EXE是什麼?病毒??? A: 如果是在c:\winnt\system32\wins目錄下有DLLHOST.EXE和SVCHOST.EXE,那肯定是中了衝擊波殺手了。 Q: 看過了,沒有!這就排除了衝擊波了吧…… A: 第一個誤區————工作出現Dllhost.exe就等於中了病毒 Dllhost.exe是系統檔案,但是工作裡面出現Dllhost.exe工作不等於中了病毒 第二個誤區————一見Dllhost.exe工作就殺死 其實這樣做是不好的。很多程序都需要Dllhost.exe,例如KV2004既時監控執行的時候或IIS在解析一些ASP文件的時候,工作中都會出現Dllhost.exe 之所以大家恐懼Dllhost.exe工作,恐怕是由於衝擊波(殺手)的問題。 其實衝擊波(殺手)只不過採取了一個偷梁換柱的方法。因為工作管理器裡面無法看出工作中exe文件的路徑,所以讓大家在分析問題的時候出現一些偏差。 感染衝擊波(殺手)的典型特徵不是工作中出現Dllhost.exe,而是RPC服務出現問題(衝擊波)和System32\wins目錄裡面出現svchost.exe和dllhost.exe文件(衝擊波殺手)。注意路徑!! 那麼,Dllhost.exe是什麼呢?Dllhost.exe是 COM+ 的主工作。正常下應該位於system32目錄裡面和system32\dllcache目錄裡面。而system32\wins目錄裡面是不會有dllhost.exe文件的。 ......... 應該能夠解除部分疑問了。 如果有多個的話,一般都是中毒了.... 以前的主旨中提到過,可以到安全模式下查殺 google搜來di,從它的解釋來看,如果你的機器不開iis,一般是中招了!! 下面請看...................... 關於W32.Nachi.Worm 蠕蟲病毒通告 該蠕蟲利用了Microsoft Windows DCOM RPC接頭遠端緩衝區溢出漏洞和Microsoft Windows 2000 WebDAV遠端緩衝區溢出漏洞進行傳播。 如果該蠕蟲發現被感染的電腦上有「衝擊波」蠕蟲,則殺掉「衝擊波」蠕蟲,並為系統打上修正檔程序,但由於程序執行上下文的限制,很多系統不能被打上修正檔,並被導致反覆重新啟動。 ICMP蠕蟲感染機器後,會產生大量長度為92字元的ICMP報文,從而導致整個網路不可用。 這些報文的特徵如下: 影響系統: Windows 2000, Windows XP / Windows 2003 在被感染的電腦上蠕蟲會做以下操作: 1、蠕蟲首先將自身拷貝到ystem\Wins\Dllhost.exe (system根據系統不同而不同,win2000為c:\winnt\system32, winxp為c:\windows\system32) 2、拷貝ystem\Dllcache\Tftpd.exe到ystem\Wins\svchost.exe 3、新增RpcTftpd服務,該服務取名Network Connections Sharing,並拷貝 Distributed Transaction Coordinator服務的描述信息給自身。 服務的中文描述信息為:並列事務,是分散於兩個以上的資料庫,消息貯列,文件系統,或 其它事務保護檔案總管 新增RpcPatch服務,該服務取名WINS Client,並拷貝Computer Browser服務的描述信息給自身。 服務的中文描述信息為:維護網路上電腦的最新列 表以及提供這個列表給請求的程序。 4、判斷記憶體中是否有msblaster蠕蟲的工作,如果有就殺掉,判斷system32目錄下有沒有msblast.exe 文件,如果有就刪除 5、使用類型為echo的ICMP報文ping根據自身算法得出的ip位址段,檢測這些位址段中存活的主機。 6、一旦發現存活的主機,便試突使用135連接埠的rpc漏洞和80連接埠的webdav漏洞進行溢出攻擊。 溢出成功後會監聽666-765範圍中隨機的一個連接埠等待目標主機回連。但是從我們監測情況 看,通常都是707連接埠。 7、建立連接後傳送「dir dllcache\tftpd.exe」和「dir wins\dllhost.exe」指令,根據 返回字串串判斷目標系統上是否有這兩個文件,如果目標系統上有tftpd.exe文件,就將tfptd拷 貝到system\wins\svhost.exe,如果沒有,就利用自己建立的tftp服務將文件傳過後再拷貝。 8、檢測自身的操作系統版本號及server pack的版本號,然後到微軟站點下載相應的ms03-26修正檔 並安裝。如果修正檔安裝完成就重新啟動系統。 9、監測當前的系統日期,如果是2004年,就將自身清除。 感染特徵: 1、被感染機器中存在如下文件: %\SYSTEM32\WINS\DLLHOST.EXE %\SYSTEM32\WINS\SVCHOST.EXE 2、註冊表中增加如下子項: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch 3、增加兩項偽裝系統服務: Network Connection Sharing WINS Client 4、監聽TFTP連接埠(69),以及一個隨機連接埠(一般為707); 5、傳送大量載荷為「aa」,填充長度92字元的icmp報文,大量icmp報文導致網路不可用。 6、大量對135連接埠的掃瞄; 看到這篇文章及dllhost - dllhost.exe - 工作信息 dllhost - dllhost.exe - 工作信息 工作文件: dllhost or dllhost.exe 工作名稱: DCOM DLL Host工作 描述: DCOM DLL Host工作支持關於COM對像支持DLL以執行Windows程序。 一般錯誤: N/A 是否為系統工作: 是 --------------------------- CCERT 關於 W32.Nachi.Worm 蠕蟲公告(草案) 影響系統: Windows 2000, Windows XP / Windows 2003 CVE參考 : CAN-2003-0109, CAN-2003-0352 別名: 趨勢科技 MSBlast.D F-Secure LovSAN.D NAI W32/Nachi.Worm Symantec W32.Welchia.Worm 簡單描述: 該蠕蟲利用了Microsoft Windows DCOM RPC接頭遠端緩衝區溢出漏洞 (漏洞信息參見http://www.ccert.edu.cn/advisories/all.php?ROWID=48) 和Microsoft Windows 2000 WebDAV遠端緩衝區溢出漏洞 (漏洞信息參見[url]http://www.ccert.edu.cn/advisories/all.php?ROWID=28︴/url]^ 進行傳播。 如果該蠕蟲發現被感染的電腦上有「衝擊波」蠕蟲,則殺掉「衝擊波」蠕蟲,並為系統打上補 丁程序,但由於程序執行上下文的限制,很多系統不能被打上修正檔,並被導致反覆重新啟動。 ICMP蠕蟲感染機器後,會產生大量長度為92字元的ICMP報文,從而導致整個網路不可用。 (ICMP流量增長趨勢參見附圖)。 這些報文的特徵如下: xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request 4500 005c 1a8d 0000 7801 85be xxxx xxxx xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa。 蠕蟲的詳細資料: 在被感染的電腦上蠕蟲會做以下操作: 1、蠕蟲首先將自身拷貝到%System%\Wins\Dllhost.exe (%system%根據系統不同而不同,win2000為c:\winnt\system32,winxp為c:\windows\system32) 2、拷貝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe 3、新增RpcTftpd服務,該服務取名Network Connections Sharing,並拷貝 Distributed Transaction Coordinator服務的描述信息給自身。 服務的中文描述信息為:並列事務,是分佈於兩個以上的資料庫,消息貯列,文件系統,或 其它事務保護檔案總管 新增RpcPatch服務,該服務取名WINS Client,並拷貝Computer Browser服務的描述信息給自身。 服務的中文描述信息為:維護網路上電腦的最新列 表以及提供這個列表給請求的程序。 4、判斷記憶體中是否有msblaster蠕蟲的工作,如果有就殺掉,判斷system32目錄下有沒有msblast.exe 文件,如果有就刪除。 5、使用類型為echo的ICMP報文ping根據自身算法得出的ip位址段,檢測這些位址段中存活的主機。 6、一旦發現存活的主機,便試突使用135連接埠的rpc漏洞和80連接埠的webdav漏洞進行溢出攻擊。 溢出成功後會監聽666-765範圍中隨機的一個連接埠等待目標主機回連。但是從我們監測情況 看,通常都是707連接埠。 7、建立連接後傳送「dir dllcache\tftpd.exe」和「dir wins\dllhost.exe」指令,根據 返回字串串判斷目標系統上是否有這兩個文件,如果目標系統上有tftpd.exe文件,就將tfptd拷 貝到%system%\wins\svhost.exe,如果沒有,就利用自己建立的tftp服務將文件傳過後再拷貝。 8、檢測自身的操作系統版本號及server pack的版本號,然後到微軟站點下載相應的ms03-26修正檔 並安裝。如果修正檔安裝完成就重新啟動系統。 9、監測當前的系統日期,如果是2004年,就將自身清除。 感染特徵: 1、被感染機器中存在如下文件: %SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE %SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE 2、註冊表中增加如下子項: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch 3、增加兩項偽裝系統服務: Network Connection Sharing WINS Client 4、監聽TFTP連接埠(69),以及一個隨機連接埠(一般為707); 5、傳送大量載荷為「aa」,填充長度92字元的icmp報文,大量icmp報文導致網路不可用。 6、大量對135連接埠的掃瞄; 網路控制方法: 如果您不需要套用這些連接埠來進行服務,為了防範這種蠕蟲,你應該在防火牆上阻塞下面的傳輸協定連接埠: UDP Port 69, 用於文件下載 TCP Port 135, 微軟:DCOM RPC ICMP echo request(type 8) 用於發現活動主機 使用IDS檢測,規則如下: alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect "; content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference: http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2 被感染電腦手動刪除辦法: 1、停止如下兩項服務(開始->程序->系統管理工具->服務): WINS Client Network Connections Sharing 2、檢查、並刪除文件: %SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE %SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE 3. 進入註冊表(「開始->執行:regedit),刪除如下鍵值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch 4. 給系統打修正檔(否則很快被再次感染) RPC修正檔: Windows 2000 Windows XP IIS5.0修正檔: Q815021_W2K_sp4_x86_CN.EXE 註:IIS的修正檔已經包含在win2k sp4中。 更多修正檔信息請參見: http://www.microsoft.com/technet/sec...n/MS03-026.asp http://www.microsoft.com/technet/sec...n/MS03-007.asp 請關注CCERT主頁和郵件列表: http://www.ccert.edu.cn advisory@ccert.edu.cn 其他參考信息 1、http://vil.nai.com/vil/content/v_100559.htm 2、http://www.microsoft.com/technet/treeview/default.asp?url= /technet/security/bulletin/MS03-026.asp 3、http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html 網路控制方法: 如果您不需要套用這些連接埠來進行服務,為了防範這種蠕蟲,你應該在防火牆上阻塞下面的傳輸協定連接埠: UDP Port 69, 用於文件下載 TCP Port 135, 微軟:DCOM RPC ICMP echo request(type 8) 用於發現活動主機 手動刪除辦法: 1、停止如下兩項服務(開始->程序->系統系統系統管理工具->服務): WINS Client Network Connections Sharing 2、檢查、並刪除文件: %\SYSTEM32\WINS\DLLHOST.EXE %\SYSTEM32\WINS\SVCHOST.EXE 3. 進入註冊表(「開始->執行:regedit),刪除如下鍵值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch 4. 給系統打修正檔(否則很快被再次感染) winnt ftp://ftp.gznet.edu.cn/pub/patch/CHSQ823980i.EXE win2000英文修正檔 ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe winxp英文修正檔 ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe win2003server英文修正檔 ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe |
送花文章: 3,
|
向 psac 送花的會員:
|
george86524 (2012-01-08)
感謝您發表一篇好文章 |
2003-10-05, 09:18 PM | #4 (permalink) |
|
以上的這個作法,好像沒有用,關於. 進入註冊表(「開始->執行:regedit),刪除如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch 這一些,我的電腦裡都沒有這些子機碼,但還是會發封包攻擊,我也找不到,而且我是變成發封包的server,逼的我要開防火強來擋掉,我有問過norton,他們的掃毒程式不保能掃掉,而且發封包的檔是svchost.exe,真不知該怎麼辦?還有比以上這個方法還要好的嗎?肯請賜教? |
送花文章: 0,
|
2003-10-06, 04:03 AM | #5 (permalink) | |
榮譽會員
|
引用:
|
|
送花文章: 3,
|