史萊姆論壇 - 請教DLLHOST.EXE是病毒嗎？

請教DLLHOST.EXE是病毒嗎？

--------------------------------------------------------------------------------

Q:
我的電腦只要一上網，工作管理列裡就會多出現2∼3個DLLHOST.EXE工作，而且有一個特別占資源！影響到我的機器速度！！
如果是病毒，有什麼辦法能解決？？

A:
dllhost.exe 　　win2000的話，一般是元件com使用的需要dllhost裝入記憶體。所以dllhost.exe負責asp3.0元件裝入記憶體。iis啟動後。有一個大約20mb左右的dllhost。如果你的web套用程式不能釋放記憶體。如關掉資料庫連接，釋放對象。這個dllhost會越來越大。還有一個dllhost是。web客戶端的。大約5mb左右。用多層構架的概念來理解，就是一個是dllhost存根，一個是dllhost骨幹。com遠端訪問缺一不可。
安裝了MS SQL Server後就會有dllhost這個工作，用來註冊DLL文件。

Q:
謝謝你這麼詳細的解釋，但怎麼解決這個問題呢？我從工作中結束也不行！
我的機器是開了iis管理服務了，剛才我停止了，少了兩個，但還有一個DLLHOST.EXE是什麼？病毒？？？
A:
如果是在c:\winnt\system32\wins目錄下有DLLHOST.EXE和SVCHOST.EXE，那肯定是中了衝擊波殺手了。
Q:
看過了，沒有！這就排除了衝擊波了吧……

A:

第一個誤區————工作出現Dllhost.exe就等於中了病毒
Dllhost.exe是系統檔案，但是工作裡面出現Dllhost.exe工作不等於中了病毒

第二個誤區————一見Dllhost.exe工作就殺死
其實這樣做是不好的。很多程序都需要Dllhost.exe，例如KV2004既時監控執行的時候或IIS在解析一些ASP文件的時候，工作中都會出現Dllhost.exe

之所以大家恐懼Dllhost.exe工作，恐怕是由於衝擊波（殺手）的問題。
其實衝擊波（殺手）只不過採取了一個偷梁換柱的方法。因為工作管理器裡面無法看出工作中exe文件的路徑，所以讓大家在分析問題的時候出現一些偏差。

感染衝擊波（殺手）的典型特徵不是工作中出現Dllhost.exe，而是RPC服務出現問題（衝擊波）和System32\wins目錄裡面出現svchost.exe和dllhost.exe文件（衝擊波殺手）。注意路徑！！

那麼，Dllhost.exe是什麼呢？Dllhost.exe是 COM+ 的主工作。正常下應該位於system32目錄裡面和system32\dllcache目錄裡面。而system32\wins目錄裡面是不會有dllhost.exe文件的。

.........
應該能夠解除部分疑問了。

如果有多個的話，一般都是中毒了....
以前的主旨中提到過，可以到安全模式下查殺
google搜來di，從它的解釋來看，如果你的機器不開iis，一般是中招了!!

下面請看......................
關於W32.Nachi.Worm 蠕蟲病毒通告

該蠕蟲利用了Microsoft Windows DCOM RPC接頭遠端緩衝區溢出漏洞和Microsoft Windows 2000 WebDAV遠端緩衝區溢出漏洞進行傳播。如果該蠕蟲發現被感染的電腦上有「衝擊波」蠕蟲，則殺掉「衝擊波」蠕蟲，並為系統打上修正檔程序，但由於程序執行上下文的限制，很多系統不能被打上修正檔，並被導致反覆重新啟動。 ICMP蠕蟲感染機器後，會產生大量長度為92字元的ICMP報文，從而導致整個網路不可用。這些報文的特徵如下：

影響系統: Windows 2000, Windows XP / Windows 2003

在被感染的電腦上蠕蟲會做以下操作：

1、蠕蟲首先將自身拷貝到ystem\Wins\Dllhost.exe （system根據系統不同而不同，win2000為c:\winnt\system32, winxp為c:\windows\system32)

2、拷貝ystem\Dllcache\Tftpd.exe到ystem\Wins\svchost.exe

3、新增RpcTftpd服務，該服務取名Network Connections Sharing，並拷貝 Distributed Transaction Coordinator服務的描述信息給自身。服務的中文描述信息為：並列事務，是分散於兩個以上的資料庫，消息貯列，文件系統，或其它事務保護檔案總管新增RpcPatch服務，該服務取名WINS Client，並拷貝Computer Browser服務的描述信息給自身。服務的中文描述信息為：維護網路上電腦的最新列表以及提供這個列表給請求的程序。

4、判斷記憶體中是否有msblaster蠕蟲的工作，如果有就殺掉，判斷system32目錄下有沒有msblast.exe 文件，如果有就刪除

5、使用類型為echo的ICMP報文ping根據自身算法得出的ip位址段，檢測這些位址段中存活的主機。

6、一旦發現存活的主機，便試突使用135連接埠的rpc漏洞和80連接埠的webdav漏洞進行溢出攻擊。溢出成功後會監聽666-765範圍中隨機的一個連接埠等待目標主機回連。但是從我們監測情況看，通常都是707連接埠。

7、建立連接後傳送「dir dllcache\tftpd.exe」和「dir wins\dllhost.exe」指令，根據返回字串串判斷目標系統上是否有這兩個文件，如果目標系統上有tftpd.exe文件，就將tfptd拷貝到system\wins\svhost.exe，如果沒有，就利用自己建立的tftp服務將文件傳過後再拷貝。

8、檢測自身的操作系統版本號及server pack的版本號，然後到微軟站點下載相應的ms03-26修正檔並安裝。如果修正檔安裝完成就重新啟動系統。

9、監測當前的系統日期，如果是2004年，就將自身清除。

感染特徵：

1、被感染機器中存在如下文件：
%\SYSTEM32\WINS\DLLHOST.EXE
%\SYSTEM32\WINS\SVCHOST.EXE

2、註冊表中增加如下子項：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

3、增加兩項偽裝系統服務：
Network Connection Sharing
WINS Client

4、監聽TFTP連接埠(69)，以及一個隨機連接埠（一般為707）；

5、傳送大量載荷為「aa」，填充長度92字元的icmp報文，大量icmp報文導致網路不可用。

6、大量對135連接埠的掃瞄；

看到這篇文章及dllhost - dllhost.exe - 工作信息

dllhost - dllhost.exe - 工作信息
工作文件: dllhost or dllhost.exe
工作名稱: DCOM DLL Host工作
描述: DCOM DLL Host工作支持關於COM對像支持DLL以執行Windows程序。
一般錯誤: N/A
是否為系統工作: 是

－－－－－－－－－－－－－－－－－－－－－－－－－－－

CCERT 關於 W32.Nachi.Worm 蠕蟲公告（草案）
影響系統: Windows 2000, Windows XP / Windows 2003
CVE參考 : CAN-2003-0109, CAN-2003-0352

別名：
趨勢科技 MSBlast.D
F-Secure LovSAN.D
NAI W32/Nachi.Worm
Symantec W32.Welchia.Worm

簡單描述：
該蠕蟲利用了Microsoft Windows DCOM RPC接頭遠端緩衝區溢出漏洞
(漏洞信息參見http://www.ccert.edu.cn/advisories/all.php?ROWID=48)
和Microsoft Windows 2000 WebDAV遠端緩衝區溢出漏洞
（漏洞信息參見[url]http://www.ccert.edu.cn/advisories/all.php?ROWID=28︴/url]^
進行傳播。
如果該蠕蟲發現被感染的電腦上有「衝擊波」蠕蟲，則殺掉「衝擊波」蠕蟲，並為系統打上補
丁程序，但由於程序執行上下文的限制，很多系統不能被打上修正檔，並被導致反覆重新啟動。
ICMP蠕蟲感染機器後，會產生大量長度為92字元的ICMP報文，從而導致整個網路不可用。
(ICMP流量增長趨勢參見附圖)。

這些報文的特徵如下：

xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
4500 005c 1a8d 0000 7801 85be xxxx xxxx
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa aaaa。

蠕蟲的詳細資料：

在被感染的電腦上蠕蟲會做以下操作：
1、蠕蟲首先將自身拷貝到%System%\Wins\Dllhost.exe

（%system%根據系統不同而不同，win2000為c:\winnt\system32,winxp為c:\windows\system32)

2、拷貝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe

3、新增RpcTftpd服務，該服務取名Network Connections Sharing，並拷貝
Distributed Transaction Coordinator服務的描述信息給自身。
服務的中文描述信息為：並列事務，是分佈於兩個以上的資料庫，消息貯列，文件系統，或
其它事務保護檔案總管

新增RpcPatch服務，該服務取名WINS Client，並拷貝Computer Browser服務的描述信息給自身。
服務的中文描述信息為：維護網路上電腦的最新列表以及提供這個列表給請求的程序。

4、判斷記憶體中是否有msblaster蠕蟲的工作，如果有就殺掉，判斷system32目錄下有沒有msblast.exe
文件，如果有就刪除。

5、使用類型為echo的ICMP報文ping根據自身算法得出的ip位址段，檢測這些位址段中存活的主機。

6、一旦發現存活的主機，便試突使用135連接埠的rpc漏洞和80連接埠的webdav漏洞進行溢出攻擊。
溢出成功後會監聽666-765範圍中隨機的一個連接埠等待目標主機回連。但是從我們監測情況
看，通常都是707連接埠。

7、建立連接後傳送「dir dllcache\tftpd.exe」和「dir wins\dllhost.exe」指令，根據
返回字串串判斷目標系統上是否有這兩個文件，如果目標系統上有tftpd.exe文件，就將tfptd拷
貝到%system%\wins\svhost.exe，如果沒有，就利用自己建立的tftp服務將文件傳過後再拷貝。

8、檢測自身的操作系統版本號及server pack的版本號，然後到微軟站點下載相應的ms03-26修正檔
並安裝。如果修正檔安裝完成就重新啟動系統。

9、監測當前的系統日期，如果是2004年，就將自身清除。

感染特徵：
1、被感染機器中存在如下文件：
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
2、註冊表中增加如下子項：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
3、增加兩項偽裝系統服務：
Network Connection Sharing
WINS Client
4、監聽TFTP連接埠(69)，以及一個隨機連接埠（一般為707）；
5、傳送大量載荷為「aa」，填充長度92字元的icmp報文，大量icmp報文導致網路不可用。
6、大量對135連接埠的掃瞄；

網路控制方法：

如果您不需要套用這些連接埠來進行服務，為了防範這種蠕蟲，你應該在防火牆上阻塞下面的傳輸協定連接埠:

UDP Port 69, 用於文件下載
TCP Port 135, 微軟：DCOM RPC
ICMP echo request(type 8) 用於發現活動主機
使用IDS檢測，規則如下：
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";
content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:
http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2

被感染電腦手動刪除辦法：

1、停止如下兩項服務（開始->程序->系統管理工具->服務）：
WINS Client
Network Connections Sharing

2、檢查、並刪除文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE

3. 進入註冊表（「開始->執行：regedit），刪除如下鍵值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

4. 給系統打修正檔（否則很快被再次感染）

RPC修正檔：
Windows 2000
Windows XP

IIS5.0修正檔：
Q815021_W2K_sp4_x86_CN.EXE
註：IIS的修正檔已經包含在win2k sp4中。

更多修正檔信息請參見:
http://www.microsoft.com/technet/sec...n/MS03-026.asp
http://www.microsoft.com/technet/sec...n/MS03-007.asp

請關注CCERT主頁和郵件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn

其他參考信息

1、http://vil.nai.com/vil/content/v_100559.htm
2、http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/bulletin/MS03-026.asp
3、http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

網路控制方法：

如果您不需要套用這些連接埠來進行服務，為了防範這種蠕蟲，你應該在防火牆上阻塞下面的傳輸協定連接埠:

UDP Port 69, 用於文件下載
TCP Port 135, 微軟：DCOM RPC
ICMP echo request(type 8) 用於發現活動主機

手動刪除辦法：

1、停止如下兩項服務（開始->程序->系統系統系統管理工具->服務）：
WINS Client
Network Connections Sharing

2、檢查、並刪除文件:
%\SYSTEM32\WINS\DLLHOST.EXE
%\SYSTEM32\WINS\SVCHOST.EXE

3. 進入註冊表（「開始->執行：regedit），刪除如下鍵值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

4. 給系統打修正檔（否則很快被再次感染）

winnt
ftp://ftp.gznet.edu.cn/pub/patch/CHSQ823980i.EXE
win2000英文修正檔
ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe

winxp英文修正檔

ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe
win2003server英文修正檔
ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe