2003年9月18日 15:57 CERNET华南网网络中心* r$ @: {: X; V: E. j
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下: 4 F) S( @# ~9 |/ c" s+ f
影响系统: Windows 2000, Windows XP / Windows 2003 ( W) k9 m k* t" J8 g" H* `+ l6 ]
在被感染的机器上蠕虫会做以下操作:' ~$ |/ ?( J% K, E
1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)% R! y2 F# G( b9 x3 D4 X i7 d
2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe
# M6 Y: I+ M: C2 @+ [7 P 3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。
7 R$ Y( f' m( R 4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除7 i! d3 c( S9 c: I9 F# W( R
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。
% l8 V; L7 g+ V! o 6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
5 j: u" i& C6 _" v4 k# B 7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
3 F& }' e. Z$ k0 b) n9 i 8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。. |* h, B0 e; z; e- I$ M. Q! I
9、监测当前的系统日期,如果是2004年,就将自身清除。
' k. K) S, f7 x
( M e1 v2 M- ?3 v7 ^( r 感染特征:
9 e( e9 c4 C. r/ N3 J4 W 1、被感染机器中存在如下文件:
. {* B# u$ j4 l: R4 A %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE5 l2 [3 p$ g6 r5 R
2、注册表中增加如下子项:- e" g$ ]2 u0 b+ _. _3 S$ R# S! f' Y
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd% Z9 S& m7 W* O* y1 C1 E1 n J& S
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch+ i0 N. n0 P$ @
3、增加两项伪装系统服务:
) z8 r* Z: s+ Y& R7 v$ O4 S( J0 d Network Connection SharingWINS Client
) ?5 o/ z. H* M! b4 S6 }* C+ b 4、监听TFTP端口(69),以及一个随机端口(常见为707);* e0 l8 A/ R5 \5 L O3 U- D: @
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。* ]' G6 x z0 h$ O8 }* T- y
6、大量对135端口的扫描;/ w0 u ]5 h0 I h5 L, H) R& R
6 _1 Q, |$ F2 X; O; q
网络控制方法:
' B8 P1 ?! L1 m* w- r2 d+ j
9 |+ T+ {5 M. G+ E6 z 如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:2 g4 W# y, I. ]3 e [( o1 }
UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机
s/ \8 d. t; \ 手动删除办法:
( }: ~/ T( P2 g+ B5 a* j 1、停止如下两项服务(开始->程序->管理工具->服务):' {( M" b; @& E `
WINS Client Network Connections Sharing
5 I4 T( n; D. o5 _1 m+ t- v1 H 2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE0 n, Z# X7 w+ f: R! @/ z; p7 M
3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd, H4 J2 V( W" W3 c. S
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
3 K$ J7 p% y; E) u $ D7 s4 A: |! ?" A, z9 ]. f' b! J
|
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42