2003年9月18日 15:57 CERNET华南网网络中心. Q, g2 O$ G) Z+ U* |+ v8 ~
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下: - y9 ~2 f+ f( n2 @% w
影响系统: Windows 2000, Windows XP / Windows 2003
5 G+ }$ X7 O, X) U1 }7 Q E 在被感染的机器上蠕虫会做以下操作:
! D& w P: q/ {) R2 e; p 1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)! d+ h) V. v9 k+ X( R0 p" t: Y
2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe, K2 J: R& n/ x* R. B
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。 d# [% l2 {. E# \
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除9 v0 h( `8 x4 f1 T( j0 t& z
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。 ?4 n+ C1 D8 Y% Y; {9 x! @4 ]
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。0 {, O4 C, T, I+ D0 D+ W1 P0 k1 b
7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。. G4 d, e0 o4 [
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
7 y' D4 f- t8 f$ R( n! W$ R3 I+ O 9、监测当前的系统日期,如果是2004年,就将自身清除。
9 X9 u( d3 [7 C n# Z, k
& o- L. C, E: z$ o/ r0 A. h7 P 感染特征:
2 N" m5 Z6 e4 |9 V7 g( C 1、被感染机器中存在如下文件:
1 r9 P: a2 G# R- f %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE- A' [. f1 Q& y+ X' [
2、注册表中增加如下子项:
4 q1 _, V3 W1 S2 l9 X+ _* j HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
* u5 K$ m" k {$ w3 RHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch& E+ i( l# M5 |' S' e S
3、增加两项伪装系统服务:
' p& x; O8 _( b Network Connection SharingWINS Client R& |) i: u) R$ t
4、监听TFTP端口(69),以及一个随机端口(常见为707);# b; i) w+ ~% B* D
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。( c2 I1 t* p' V$ v$ z4 _+ G. {
6、大量对135端口的扫描;: l8 g _' {8 e8 h
5 R$ I$ E5 i9 v, L, B8 Y: [' j 网络控制方法:
5 O7 O; R& R' m' d, U9 Z 0 }4 I/ e9 `6 \6 o7 e" o
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
! j+ }3 y- E; J' o1 Y7 O# D0 o UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机
. Y y) H6 g- m 手动删除办法:
" E3 k( i% U) |3 q" s- q& v 1、停止如下两项服务(开始->程序->管理工具->服务):6 p( _0 {1 V7 j% X! A0 g
WINS Client Network Connections Sharing
; A2 F' [: ]3 b+ ?2 U 2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
/ r9 k* I; Q3 ^8 O2 m 3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
$ i; R+ ?4 Z5 v# _$ N+ ZHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch( O5 F" |( [6 c8 _9 Z/ @
V' S, Q* K" R# i. ?. c |
/1 
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42