宽带技术网»首页 ::::: 技 术 交 流 区 ::::: 『 电脑软硬件交流区 』 关于W32.Nachi.Worm蠕虫病毒通告
返回列表 发新帖
查看: 8351|回复: 0

关于W32.Nachi.Worm蠕虫病毒通告

[复制链接]
YES东
发表于 2003-9-19 01:14:42 | 显示全部楼层 |阅读模式
2003年9月18日 15:57 CERNET华南网网络中心
+ V2 V1 q, \0 T  a! {   该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下:  
0 }% Y% q( v$ q, g  }3 {1 s  影响系统: Windows 2000, Windows XP / Windows 2003
' N' B- w6 ?) D1 M# U7 {2 R: V  在被感染的机器上蠕虫会做以下操作:( f$ @+ S$ }# r% [* G1 t
  1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)
" k0 h) u* [% j* ]* R6 Q  2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe
" [) ^* ~, C; [- N# b( o% j  3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。9 A7 n( ?$ ^  h8 g" ~1 w  r
  4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除
( v) }9 W6 k# ~& y7 k1 I  5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。5 t1 O0 w5 O9 u/ v" x7 p- H
  6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
9 @  |: I& n. R7 w$ V) ^! p! b; ^  7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。" f( \/ R- l) c. h
  8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
( ^  p- Y& y2 F1 r4 r  9、监测当前的系统日期,如果是2004年,就将自身清除。/ F6 C! G6 `3 \7 ?6 y; a
  ! g: J; `/ d& J2 H9 a
  感染特征:
' d9 y7 p  d1 \* x; J  1、被感染机器中存在如下文件:5 G$ ]/ m/ e  Z) ~3 X3 f
  %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
- }$ p9 G$ q2 H0 @  D+ e  2、注册表中增加如下子项:
* f4 E- x0 c0 s5 x9 d  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
" n! s% {$ @' IHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
1 {6 A! w# T+ x0 M  3、增加两项伪装系统服务:: }' y( Q( Y% |  X6 d* p2 F+ z
  Network Connection SharingWINS Client  ^2 u8 Q8 C- n2 A4 M) P  Z. b  u' L+ Q
  4、监听TFTP端口(69),以及一个随机端口(常见为707);
% H- b3 h9 V# n$ X1 t5 Y( k2 f5 u  5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。
+ l7 M  V& w2 [# w  6、大量对135端口的扫描;7 S8 W! _  s7 R% K# t
  
( U) Q+ M) v& w5 F: @  z' U  网络控制方法:! c0 ~7 s* t# ~- M5 K
  6 b" L5 r6 L: ^% s
  如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:2 E! K5 C8 g' L' S
  UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机2 u2 w) p3 v" r
  手动删除办法:
4 R; r) p4 Y( G  1、停止如下两项服务(开始->程序->管理工具->服务):/ c7 v) g2 B, L( b  Q9 z
  WINS Client Network Connections Sharing
9 B, y. E7 I( k  2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE7 q1 q9 x. F2 q7 ^+ j- M" {: l
  3.进入注册表(“开始->运行:regedit),删除如下键值:  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd0 h& u7 W- T7 F, H) c3 z
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch2 ]" w0 _# D( \1 E
7 |+ E- O/ P* \1 B5 o
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

Archiver|小黑屋|宽带技术网 |网站地图 粤公网安备44152102000001号

相关侵权、举报、投诉及建议等,请发 E-mail:yesdong@qq.com

Powered by Discuz! X5.0 Licensed © 2001-2026 Discuz! Team.44152102000001

在本版发帖QQ客服返回顶部