2003年9月18日 15:57 CERNET华南网网络中心
0 b1 L/ h/ Y. E8 I2 v1 g2 O 该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下: 7 A3 _+ Y/ W! B6 X% z6 o( M
影响系统: Windows 2000, Windows XP / Windows 2003
7 J2 A0 |' m1 W7 j 在被感染的机器上蠕虫会做以下操作:' T, z, ^, h1 t- H# l
1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)
6 S- E+ G) y! E# i; z 2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe
0 H) V" b! Z- Y: q; B" K& b; j 3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。
3 D" r6 ^- t) P 4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除. K+ N+ {' c2 C) E6 b8 r, ?/ A# I
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。. \2 T) [& R+ {: _
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。3 R- a+ S# Y1 D. Z" D
7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
. @0 }: S3 O0 u9 A. Z2 g4 Z: k# K 8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
/ X; j9 q) O: ?3 A/ S/ b0 L 9、监测当前的系统日期,如果是2004年,就将自身清除。' s8 b* @, M+ |6 l3 T
. M3 Y* D1 V# R1 u& `* v 感染特征:
. e. y4 H: r" B0 i 1、被感染机器中存在如下文件:
' G% ^- h o9 I( f. k* z %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
% ^- W6 }* r% v+ i& Z: l2 t. `/ A 2、注册表中增加如下子项:
0 X5 y. Z Z( x% ? HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
+ p6 _* W: x" o- h& JHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
3 d& G; i& t% c 3、增加两项伪装系统服务:& K% n9 ?' @: r; Y! K
Network Connection SharingWINS Client4 l& o5 q5 t0 h$ U% ~
4、监听TFTP端口(69),以及一个随机端口(常见为707);5 {2 e( v3 D( h6 s9 \2 u" i
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。& v+ k2 G0 b) e" n0 t0 P: q
6、大量对135端口的扫描;8 k8 z: G9 o/ x9 c
" {+ \# L( w; n! ?, v
网络控制方法:3 A# x* d7 O5 H2 p S
6 t F7 T9 ~ G+ p: l 如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
& g* R. y* o' i5 [ o9 P" K UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机
. F1 p9 [, k4 I1 \$ P ~+ x1 I6 } 手动删除办法:$ m& t# `$ V3 d* Y8 B- Z, o
1、停止如下两项服务(开始->程序->管理工具->服务):, p- [9 m1 O2 B
WINS Client Network Connections Sharing
5 s _* O+ i( ~* k$ ?& ^. q A7 E 2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE6 |! O, e" y; N x
3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
6 V; ]9 _. f6 X! g1 h! [! vHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
( P- v' b' E$ a# P- W7 U% i - R6 J( v% |( ^; E" o& w
|
/1 
|Archiver|小黑屋|宽带技术网
|网站地图 
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42