2003年9月18日 15:57 CERNET华南网网络中心
4 ~, m+ I5 @" J- Q$ Q; T 该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下: " ?( d2 x0 G9 t) c# ^3 V
影响系统: Windows 2000, Windows XP / Windows 2003 6 @+ U1 ?2 c; ^9 u! Y
在被感染的机器上蠕虫会做以下操作:
x, U+ O3 b7 L) N& f! ^8 f) m; V! ~ 1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)
& q; j6 @$ W$ W$ s6 H& x$ D; f' H7 T 2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe5 i2 ^8 o6 h) N# I
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。
# \& V8 o e) W( E 4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除; n) b+ E) i8 @7 r% K" d
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。3 _* j* r5 w) h" I' e' Z0 Z
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
) A5 Y4 b' T' c+ T. R1 Y; E: J* i 7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。; p% Q' h V- _( G0 o) j! c
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。, W! ?* p; V7 H9 d0 R+ a
9、监测当前的系统日期,如果是2004年,就将自身清除。
! j# }) u" X" X8 Y8 P6 ? + N# X0 Z2 s) h3 V+ o* @
感染特征:
$ c3 d5 Y% |- m5 b8 U+ J& [ 1、被感染机器中存在如下文件:! v' N" p7 C& }4 x9 q$ ^. m
%SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
7 w$ @2 k0 G- I5 p/ y+ F; l6 y8 c 2、注册表中增加如下子项:" m' S3 M' m9 k# n- q6 \% S! b$ f
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
% ?: ~) A. |0 j7 WHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
8 A8 |5 W& ^" z2 H* w 3、增加两项伪装系统服务:
7 ^7 F9 y; ]: G4 x p8 R Network Connection SharingWINS Client
& C) u; w0 c; [( W, { 4、监听TFTP端口(69),以及一个随机端口(常见为707);! f8 `/ Z- c5 D% u
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。
& d' X4 _/ C# A- e. S: y7 \) n) G7 Z 6、大量对135端口的扫描;
1 V4 h6 ]5 [* [9 R& d; A 4 O% ^+ M) O) ]! `
网络控制方法:+ F* j/ l+ D/ s1 k' K
; }2 y# j) Y/ @: S% v8 m 如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
: | e- r% P# }* n$ v3 h UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机7 h: X5 k0 d6 t, J: v) ]# x
手动删除办法:
1 m, N) W) }5 L2 ]# i+ T& {* z 1、停止如下两项服务(开始->程序->管理工具->服务):
9 ?2 q, m1 r0 r% R$ L" P$ Q WINS Client Network Connections Sharing % l1 j* e; G) a
2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
- ~1 d* v# D0 X% h, W 3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd/ q a! [ Y$ k/ \& O
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
9 K/ u* |8 ]/ N& x% t# m; ] . u/ M, g3 L' U
|
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42