2003年9月18日 15:57 CERNET华南网网络中心/ b+ ?+ X" |, E' ?8 X
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下: 8 @" g& R8 u/ o# a6 C) v9 w2 I; @# Z
影响系统: Windows 2000, Windows XP / Windows 2003 ) F2 L6 ]" l: ?" j! r( G# e, M0 y, D/ u
在被感染的机器上蠕虫会做以下操作:. X. u. F% ~" U+ K9 \1 m: x2 w9 ]
1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)
, u' P6 X: }8 [# i; D: V 2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe" `4 M/ d/ s$ r! n
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。6 }# ^$ D" s& r- ]
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除/ M$ m0 U h! c0 Y8 d' y( j& {8 v
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。. d- d5 l |9 S8 I, y3 R
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
- V" @7 B8 [. g 7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。" M# O8 ]) T: { n C7 `
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。0 ]8 l, y# e0 @8 J5 I6 Y% y
9、监测当前的系统日期,如果是2004年,就将自身清除。
4 ~/ U4 A4 l; j% I ( \, l& C3 I: ]; F7 G
感染特征:, `% K0 L" D' C
1、被感染机器中存在如下文件:
i9 h- j$ L) d5 x' d %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
% d! X; ?2 T8 h( J! G- D- q( S1 b6 D: ^ 2、注册表中增加如下子项:
1 T) h3 e" U$ ?2 C$ f HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd/ U3 d7 H/ ~7 l% z! d7 w5 p2 E
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
6 G- d! X* @& L+ ~* R 3、增加两项伪装系统服务:/ j3 G$ `5 Z# t) {
Network Connection SharingWINS Client& H7 m# E+ L/ t+ R, Z" |
4、监听TFTP端口(69),以及一个随机端口(常见为707);& r% |. I( Q, Y8 d
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。
- N1 p! _! }* y1 H! ^4 A( U* r 6、大量对135端口的扫描;
: u! K+ z6 q3 g E4 Z & X% J, K! T8 v+ J8 r! A, Z) g
网络控制方法:4 H) W- n* S. l. ~" V5 {
! V- }& f! C4 ^1 Q! R+ R' q' s
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
5 {* O- ]6 _: x% V. z6 N9 m UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机# L' j0 E) u/ l) n, _
手动删除办法:7 g+ X: l! C: z1 P
1、停止如下两项服务(开始->程序->管理工具->服务): B& ~7 q3 J1 n4 t) N
WINS Client Network Connections Sharing 8 c6 a+ e* P0 l0 ~2 n
2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
4 ~: s) q4 n& Y. K0 o/ t 3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
% `) U. P$ n5 f) @- dHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch7 S# ^; @' d3 u8 Y! R. S+ S
0 {: J6 l) c! A' m+ E, q3 j4 J' P
|
/1 
|Archiver|小黑屋|宽带技术网
|网站地图 
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42