史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-09-11, 02:17 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 請教DLLHOST.EXE是病毒嗎?

請教DLLHOST.EXE是病毒嗎?

--------------------------------------------------------------------------------

Q:
我的電腦只要一上網,工作管理列裡就會多出現2∼3個DLLHOST.EXE工作,而且有一個特別占資源!影響到我的機器速度!!
如果是病毒,有什麼辦法能解決??

A:
dllhost.exe   win2000的話,一般是元件com使用的需要dllhost裝入記憶體。所以dllhost.exe負責asp3.0元件裝入記憶體。iis啟動後。有一個大約20mb左右的dllhost。如果你的web套用程式不能釋放記憶體。如關掉資料庫連接,釋放對象。這個dllhost會越來越大。還有一個dllhost是。web客戶端的。大約5mb左右。用多層構架的概念來理解,就是一個是dllhost存根,一個是dllhost骨幹。com遠端訪問缺一不可。
安裝了MS SQL Server後就會有dllhost這個工作,用來註冊DLL文件。


Q:
謝謝你這麼詳細的解釋,但怎麼解決這個問題呢?我從工作中結束也不行!
我的機器是開了iis管理服務了,剛才我停止了,少了兩個,但還有一個DLLHOST.EXE是什麼?病毒???
A:
如果是在c:\winnt\system32\wins目錄下有DLLHOST.EXE和SVCHOST.EXE,那肯定是中了衝擊波殺手了。
Q:
看過了,沒有!這就排除了衝擊波了吧……

A:

第一個誤區————工作出現Dllhost.exe就等於中了病毒
Dllhost.exe是系統檔案,但是工作裡面出現Dllhost.exe工作不等於中了病毒

第二個誤區————一見Dllhost.exe工作就殺死
其實這樣做是不好的。很多程序都需要Dllhost.exe,例如KV2004既時監控執行的時候或IIS在解析一些ASP文件的時候,工作中都會出現Dllhost.exe

之所以大家恐懼Dllhost.exe工作,恐怕是由於衝擊波(殺手)的問題。
其實衝擊波(殺手)只不過採取了一個偷梁換柱的方法。因為工作管理器裡面無法看出工作中exe文件的路徑,所以讓大家在分析問題的時候出現一些偏差。

感染衝擊波(殺手)的典型特徵不是工作中出現Dllhost.exe,而是RPC服務出現問題(衝擊波)和System32\wins目錄裡面出現svchost.exe和dllhost.exe文件(衝擊波殺手)。注意路徑!!

那麼,Dllhost.exe是什麼呢?Dllhost.exe是 COM+ 的主工作。正常下應該位於system32目錄裡面和system32\dllcache目錄裡面。而system32\wins目錄裡面是不會有dllhost.exe文件的。

.........
應該能夠解除部分疑問了。



如果有多個的話,一般都是中毒了....
以前的主旨中提到過,可以到安全模式下查殺
google搜來di,從它的解釋來看,如果你的機器不開iis,一般是中招了!!



下面請看......................
關於W32.Nachi.Worm 蠕蟲病毒通告



該蠕蟲利用了Microsoft Windows DCOM RPC接頭遠端緩衝區溢出漏洞和Microsoft Windows 2000 WebDAV遠端緩衝區溢出漏洞進行傳播。 如果該蠕蟲發現被感染的電腦上有「衝擊波」蠕蟲,則殺掉「衝擊波」蠕蟲,並為系統打上修正檔程序,但由於程序執行上下文的限制,很多系統不能被打上修正檔,並被導致反覆重新啟動。 ICMP蠕蟲感染機器後,會產生大量長度為92字元的ICMP報文,從而導致整個網路不可用。 這些報文的特徵如下:


影響系統: Windows 2000, Windows XP / Windows 2003

在被感染的電腦上蠕蟲會做以下操作:

1、蠕蟲首先將自身拷貝到ystem\Wins\Dllhost.exe (system根據系統不同而不同,win2000為c:\winnt\system32, winxp為c:\windows\system32)

2、拷貝ystem\Dllcache\Tftpd.exe到ystem\Wins\svchost.exe

3、新增RpcTftpd服務,該服務取名Network Connections Sharing,並拷貝 Distributed Transaction Coordinator服務的描述信息給自身。 服務的中文描述信息為:並列事務,是分散於兩個以上的資料庫,消息貯列,文件系統,或 其它事務保護檔案總管 新增RpcPatch服務,該服務取名WINS Client,並拷貝Computer Browser服務的描述信息給自身。 服務的中文描述信息為:維護網路上電腦的最新列 表以及提供這個列表給請求的程序。

4、判斷記憶體中是否有msblaster蠕蟲的工作,如果有就殺掉,判斷system32目錄下有沒有msblast.exe 文件,如果有就刪除

5、使用類型為echo的ICMP報文ping根據自身算法得出的ip位址段,檢測這些位址段中存活的主機。

6、一旦發現存活的主機,便試突使用135連接埠的rpc漏洞和80連接埠的webdav漏洞進行溢出攻擊。 溢出成功後會監聽666-765範圍中隨機的一個連接埠等待目標主機回連。但是從我們監測情況 看,通常都是707連接埠。

7、建立連接後傳送「dir dllcache\tftpd.exe」和「dir wins\dllhost.exe」指令,根據 返回字串串判斷目標系統上是否有這兩個文件,如果目標系統上有tftpd.exe文件,就將tfptd拷 貝到system\wins\svhost.exe,如果沒有,就利用自己建立的tftp服務將文件傳過後再拷貝。

8、檢測自身的操作系統版本號及server pack的版本號,然後到微軟站點下載相應的ms03-26修正檔 並安裝。如果修正檔安裝完成就重新啟動系統。

9、監測當前的系統日期,如果是2004年,就將自身清除。


感染特徵:

1、被感染機器中存在如下文件:
%\SYSTEM32\WINS\DLLHOST.EXE
%\SYSTEM32\WINS\SVCHOST.EXE

2、註冊表中增加如下子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

3、增加兩項偽裝系統服務:
Network Connection Sharing
WINS Client

4、監聽TFTP連接埠(69),以及一個隨機連接埠(一般為707);

5、傳送大量載荷為「aa」,填充長度92字元的icmp報文,大量icmp報文導致網路不可用。

6、大量對135連接埠的掃瞄;

看到這篇文章及dllhost - dllhost.exe - 工作信息

dllhost - dllhost.exe - 工作信息
工作文件: dllhost or dllhost.exe
工作名稱: DCOM DLL Host工作
描述: DCOM DLL Host工作支持關於COM對像支持DLL以執行Windows程序。
一般錯誤: N/A
是否為系統工作: 是

---------------------------

CCERT 關於 W32.Nachi.Worm 蠕蟲公告(草案)
影響系統: Windows 2000, Windows XP / Windows 2003
CVE參考 : CAN-2003-0109, CAN-2003-0352

別名:
趨勢科技 MSBlast.D
F-Secure LovSAN.D
NAI W32/Nachi.Worm
Symantec W32.Welchia.Worm

簡單描述:
該蠕蟲利用了Microsoft Windows DCOM RPC接頭遠端緩衝區溢出漏洞
(漏洞信息參見http://www.ccert.edu.cn/advisories/all.php?ROWID=48)
和Microsoft Windows 2000 WebDAV遠端緩衝區溢出漏洞
(漏洞信息參見[url]http://www.ccert.edu.cn/advisories/all.php?ROWID=28︴/url]^
進行傳播。
如果該蠕蟲發現被感染的電腦上有「衝擊波」蠕蟲,則殺掉「衝擊波」蠕蟲,並為系統打上補
丁程序,但由於程序執行上下文的限制,很多系統不能被打上修正檔,並被導致反覆重新啟動。
ICMP蠕蟲感染機器後,會產生大量長度為92字元的ICMP報文,從而導致整個網路不可用。
(ICMP流量增長趨勢參見附圖)。

這些報文的特徵如下:

xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
4500 005c 1a8d 0000 7801 85be xxxx xxxx
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa aaaa。

蠕蟲的詳細資料:

在被感染的電腦上蠕蟲會做以下操作:
1、蠕蟲首先將自身拷貝到%System%\Wins\Dllhost.exe

(%system%根據系統不同而不同,win2000為c:\winnt\system32,winxp為c:\windows\system32)

2、拷貝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe

3、新增RpcTftpd服務,該服務取名Network Connections Sharing,並拷貝
Distributed Transaction Coordinator服務的描述信息給自身。
服務的中文描述信息為:並列事務,是分佈於兩個以上的資料庫,消息貯列,文件系統,或
其它事務保護檔案總管

新增RpcPatch服務,該服務取名WINS Client,並拷貝Computer Browser服務的描述信息給自身。
服務的中文描述信息為:維護網路上電腦的最新列 表以及提供這個列表給請求的程序。

4、判斷記憶體中是否有msblaster蠕蟲的工作,如果有就殺掉,判斷system32目錄下有沒有msblast.exe
文件,如果有就刪除。

5、使用類型為echo的ICMP報文ping根據自身算法得出的ip位址段,檢測這些位址段中存活的主機。

6、一旦發現存活的主機,便試突使用135連接埠的rpc漏洞和80連接埠的webdav漏洞進行溢出攻擊。
溢出成功後會監聽666-765範圍中隨機的一個連接埠等待目標主機回連。但是從我們監測情況
看,通常都是707連接埠。

7、建立連接後傳送「dir dllcache\tftpd.exe」和「dir wins\dllhost.exe」指令,根據
返回字串串判斷目標系統上是否有這兩個文件,如果目標系統上有tftpd.exe文件,就將tfptd拷
貝到%system%\wins\svhost.exe,如果沒有,就利用自己建立的tftp服務將文件傳過後再拷貝。

8、檢測自身的操作系統版本號及server pack的版本號,然後到微軟站點下載相應的ms03-26修正檔
並安裝。如果修正檔安裝完成就重新啟動系統。

9、監測當前的系統日期,如果是2004年,就將自身清除。

感染特徵:
1、被感染機器中存在如下文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
2、註冊表中增加如下子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
3、增加兩項偽裝系統服務:
Network Connection Sharing
WINS Client
4、監聽TFTP連接埠(69),以及一個隨機連接埠(一般為707);
5、傳送大量載荷為「aa」,填充長度92字元的icmp報文,大量icmp報文導致網路不可用。
6、大量對135連接埠的掃瞄;

網路控制方法:

如果您不需要套用這些連接埠來進行服務,為了防範這種蠕蟲,你應該在防火牆上阻塞下面的傳輸協定連接埠:

UDP Port 69, 用於文件下載
TCP Port 135, 微軟:DCOM RPC
ICMP echo request(type 8) 用於發現活動主機
使用IDS檢測,規則如下:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";
content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:
http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2

被感染電腦手動刪除辦法:

1、停止如下兩項服務(開始->程序->系統管理工具->服務):
WINS Client
Network Connections Sharing

2、檢查、並刪除文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE

3. 進入註冊表(「開始->執行:regedit),刪除如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

4. 給系統打修正檔(否則很快被再次感染)

RPC修正檔:
Windows 2000
Windows XP

IIS5.0修正檔:
Q815021_W2K_sp4_x86_CN.EXE
註:IIS的修正檔已經包含在win2k sp4中。

更多修正檔信息請參見:
http://www.microsoft.com/technet/sec...n/MS03-026.asp
http://www.microsoft.com/technet/sec...n/MS03-007.asp

請關注CCERT主頁和郵件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn

其他參考信息

1、http://vil.nai.com/vil/content/v_100559.htm
2、http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/bulletin/MS03-026.asp
3、http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html



網路控制方法:

如果您不需要套用這些連接埠來進行服務,為了防範這種蠕蟲,你應該在防火牆上阻塞下面的傳輸協定連接埠:

UDP Port 69, 用於文件下載
TCP Port 135, 微軟:DCOM RPC
ICMP echo request(type 8) 用於發現活動主機

手動刪除辦法:

1、停止如下兩項服務(開始->程序->系統系統系統管理工具->服務):
WINS Client
Network Connections Sharing

2、檢查、並刪除文件:
%\SYSTEM32\WINS\DLLHOST.EXE
%\SYSTEM32\WINS\SVCHOST.EXE

3. 進入註冊表(「開始->執行:regedit),刪除如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch

4. 給系統打修正檔(否則很快被再次感染)

winnt
ftp://ftp.gznet.edu.cn/pub/patch/CHSQ823980i.EXE
win2000英文修正檔
ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe

winxp英文修正檔

ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe
win2003server英文修正檔
ftp://ftp.gznet.edu.cn/pub/patch/Win...80-x86-ENU.exe
psac 目前離線  
送花文章: 3, 收花文章: 1628 篇, 收花: 3199 次
向 psac 送花的會員:
george86524 (2012-01-08)
感謝您發表一篇好文章
舊 2003-09-11, 03:41 PM   #2 (permalink)
smithpp
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

好文章,我正要查这问题呢!

谢谢!
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-10-05, 01:00 AM   #3 (permalink)
thchang
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

3Q
好文章
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-10-05, 09:18 PM   #4 (permalink)
bzbz
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

以上的這個作法,好像沒有用,關於. 進入註冊表(「開始->執行:regedit),刪除如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
這一些,我的電腦裡都沒有這些子機碼,但還是會發封包攻擊,我也找不到,而且我是變成發封包的server,逼的我要開防火強來擋掉,我有問過norton,他們的掃毒程式不保能掃掉,而且發封包的檔是svchost.exe,真不知該怎麼辦?還有比以上這個方法還要好的嗎?肯請賜教?
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-10-06, 04:03 AM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

引用:
原文由 bzbz 所發表
以上的這個作法,好像沒有用,關於. 進入註冊表(「開始->執行:regedit),刪除如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
這一些,我的電腦裡都沒有這些子機碼,但還是會發封包攻擊,我也找不到,而且我是變成發封包的server,逼的我要開防火強來擋掉,我有問過norton,他們的掃毒程式不保能掃掉,而且發封包的檔是svchost.exe,真不知該怎麼辦?還有比以上這個方法還要好的嗎?肯請賜教?
http://www.slime2.com.tw/forums/show...687#post434687
psac 目前離線  
送花文章: 3, 收花文章: 1628 篇, 收花: 3199 次
舊 2003-10-06, 06:40 PM   #6 (permalink)
bzbz
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

PSAC大大你好: 
    我看了佚的文章,但似乎好像沒辦法完全解決我的問題,再來就是你的

意思是不是要我把那個檔案給停止,不再讓他跑,但關了之後,他還是會再跑出

來,而且我的svchost.exe的port是135持續的攻擊,我也看過他底下(svchost)

的子機碼有那些,但都是一些合法程式,我實在是無能為力了!所以只有開著

firewall而已,至少不要讓他去攻擊別人!!
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:10 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1