2003年9月18日 15:57 CERNET华南网网络中心- x" ^8 ]2 L. O6 T# l" S/ c: Y
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下:
. r7 l; O+ V9 @* ]0 u3 B, c 影响系统: Windows 2000, Windows XP / Windows 2003
; s" F6 Q, Q- m 在被感染的机器上蠕虫会做以下操作:
8 A2 M# V0 b/ C 1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)9 L3 L) `6 N: U; I
2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe
& b8 g5 k4 R9 I t3 @8 |# j! w 3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。
. E' o# p$ W2 l; v% R 4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除& l% j5 A6 n1 j5 C
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。9 S+ y5 |5 ?& N/ g. ^, Y7 x
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。; T6 ~/ Y3 s3 x. ]% T
7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
x! e- [; @: \ 8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
; q' b+ ~1 {4 E2 }: d2 P5 x5 a9 | 9、监测当前的系统日期,如果是2004年,就将自身清除。. A/ V3 i5 C! y; E3 n( G( |
$ S G$ y% a, z 感染特征:
+ O( s0 q! O; H0 S0 ]! K 1、被感染机器中存在如下文件:, z* `1 y' N4 Y$ B% V/ e4 S
%SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE7 C& l0 E8 n7 S3 U
2、注册表中增加如下子项:* [: _3 H' q) M6 d& G9 H! q
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd5 R- } k0 w2 t* s" @% S; P
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch) q' r- F' N, z
3、增加两项伪装系统服务:
/ M1 O4 V1 |- S+ A# U Network Connection SharingWINS Client
# c m4 E7 H& b! x: k 4、监听TFTP端口(69),以及一个随机端口(常见为707);
( t5 j8 U" A& o3 U- ]6 r: K; i, _ 5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。4 Z K/ h( P+ ~3 w
6、大量对135端口的扫描;" k( U \1 g# U4 e2 b
2 [. N) ]; e+ M! ~
网络控制方法:
2 O9 _2 n& v% |; R( e
6 A2 B! }" F$ h0 [* y 如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
* P9 J7 P( J6 B$ O: @ UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机
: N! I* b. D9 T5 M 手动删除办法:
6 {; Q( d2 G2 q1 g+ B+ w( N 1、停止如下两项服务(开始->程序->管理工具->服务):
8 [, r3 g: `6 J* S WINS Client Network Connections Sharing 6 N* e% J6 A' m
2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
% V, F: c+ X O- t+ Y 3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
7 N$ }3 q3 S/ y( x2 WHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
0 u) s! t- z! \' b5 l) n# |; O' s 1 h* a# L* l' E. f0 s; |2 A$ F
|
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42