• 冲击波杀手清除工具是一个小型但有效的清洁Win32.蠕虫。冲击波杀手的恶意软件。

    为Windows XP系统,它使用的Windows DCOM RPC脆弱性描述MS03-026安全公报,感染的新计算机。

    系统有IIS服务,它使用的Windows WebDav脆弱性描述MS03-007安全公报,感染的新计算机。

    当跑了它看起来for Win32.Msblast的。蠕虫文件(文件msblast.exe),并试图将其从计算机。 它还尝试下载的修DCOM RPC脆弱性和安装。 如果它成功地安装,重新启动的计算机,而不另行通知。

    后感染远程计算机,它开辟了一个随机TCP port之间666和765远程计算机上以命令发送给它。

    它使用FTP文件传输协议的复制蠕虫的身体:dllhost.exe和FTP服务器:tftpd.exe将重新命名为svchost.exe 复制后%system32%获胜。

    它创建了两个服务:网络连接,共享的路径可执行:%system32%winssvchost.exe 并赢得客户的路径可执行:%system32%winsdllhost.exe那是自动运行,以便蜗杆将是积极的,即使没有用户登录在计算机。

    蜗包含了一些文字符串:我爱我的妻子和孩子),欢迎中国,通知:2004年将消除自己:)和对不起中立的。 这是真的,从2004年它将卸载本身从受感染的机。

    互斥,它使用的不运行的两次相同的计算机上被命名为RpcPatch_Mutex的。

  • Welchia हटाने के उपकरण है एक छोटे से अभी तक प्रभावी साधन की सफाई Win32 हैं । Worm.Welchia मैलवेयर.

    Windows XP के लिए सिस्टम का उपयोग करता है, Windows DCOM RPC वर्णित सुरक्षाछिद्र में MS03-026 सुरक्षा बुलेटिन, संक्रमित करने के लिए नए कंप्यूटर है.

    के लिए है कि सिस्टम IIS सेवा का उपयोग करता है, Windows WebDav वर्णित सुरक्षाछिद्र में MS03-007 सुरक्षा बुलेटिन, संक्रमित करने के लिए नए कंप्यूटर है.

    जब भागा यह लग रहा है के लिए Win32.Msblast.एक कीड़ा फ़ाइल (msblast.exe) और कोशिश करता है के लिए कंप्यूटर से इसे हटाने. यह भी डाउनलोड करने का प्रयास पैच के लिए DCOM RPC जोखिम और इसे स्थापित करने के लिए है । यदि यह सफलतापूर्वक स्थापित करता है, यह कंप्यूटर को पुनरारंभ करता नोटिस के बिना.

    के बाद संक्रमण एक दूरदराज के कंप्यूटर में है, यह खोलता है और एक यादृच्छिक TCP पोर्ट के बीच 666 और 765, दूरस्थ कंप्यूटर पर इतनी के रूप में करने के लिए आदेश भेजने के लिए ।

    यह का उपयोग करता है TFTP फ़ाइल स्थानांतरण प्रोटोकॉल के लिए नकल कीड़ा शरीर: dllhost.exe, और TFTP सर्वर: tftpd.exe, उस नाम दिया जाएगा करने के लिए svchost.exe बाद में नकल %system32%जीतता है ।

    यह बनाता है दो सेवाओं: नेटवर्क कनेक्शन साझा करने के लिए पथ के साथ निष्पादन योग्य: %system32%winssvchost.exe और जीत के साथ ग्राहक के लिए पथ निष्पादन योग्य: %system32%winsdllhost.exe, सेट कर रहे हैं कि करने के लिए स्वचालित रूप से चलाने के है, इसलिए है कि कीड़ा सक्रिय हो जाएगा, यहां तक कि यदि कोई उपयोगकर्ता कंप्यूटर पर लॉग ऑन है ।

    कीड़ा होता है कुछ पाठ स्ट्रिंग्स: मैं मेरी पत्नी और बच्चे :) आपका स्वागत है चियान, नोटिस: 2004 निकाल देंगे, खुद:) और खेद zhongli. यह सच है, से वर्ष 2004 इसे स्थापना रद्द होगा ही से संक्रमित मशीन.

    Mutex है कि यह नहीं का उपयोग करता है को चलाने के लिए दो बार एक ही कंप्यूटर पर नाम है RpcPatch_Mutex.

  • Welchia Removal Tool is a small yet effective means of cleaning the Win32.Worm.Welchia malware.

    For Windows XP systems, it uses the Windows DCOM RPC vulnerability described in MS03-026 security bulletin, to infect new computers.

    For systems that have the IIS service, it uses the Windows WebDav vulnerability described in MS03-007 security bulletin, to infect new computers.

    When ran it looks for Win32.Msblast.A worm file (msblast.exe) and tries to remove it from the computer. It also attempts to download the patch for the DCOM RPC vulnerability and to install it. If it successfully installs it, it restarts the computer without notice.

    After infecting a remote computer, it opens a random TCP port between 666 and 765, on the remote computer so as to send commands to it.

    It uses the TFTP file transfer protocol to copy the worm body: dllhost.exe, and the TFTP server: tftpd.exe, that will be renamed to svchost.exe after copying in %system32%wins.

    It creates two services: Network Connections Sharing with the path to executable: %system32%winssvchost.exe and WINS Client with the path to executable: %system32%winsdllhost.exe, that are set to run automatically, so that the worm will be active, even if no user is logged on the computer.

    The worm contains some text strings: I love my wife & baby :), Welcome Chian, Notice: 2004 will remove myself:) and sorry zhongli. It is true, from the year 2004 it would uninstall itself from the infected machine.

    The mutex that it uses not to run twice on the same computer is named RpcPatch_Mutex.