2003年9月18日 15:57 CERNET华南网网络中心
7 v+ }/ N) I3 F, i 该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下:
. \) ^" ]: R4 Q9 j: I1 _; S 影响系统: Windows 2000, Windows XP / Windows 2003
, l4 ?( e) V! D 在被感染的机器上蠕虫会做以下操作:5 B9 P, B, J0 E* s# i, [1 o) }4 w
1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)
7 l V7 P v) E5 K. U 2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe# J2 ]" h3 B% g, F! _; ^" b1 r' a
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。( T: j& b4 K$ ]4 g) d5 H- S s
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除
. n7 U* n/ {" N9 B5 J. m 5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。
! N# k! X* a4 K( q7 w 6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。& C+ L4 A% S: v0 P
7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
$ T* k* o5 S0 z( k, h 8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
- w& n( a- h6 @) U. m 9、监测当前的系统日期,如果是2004年,就将自身清除。
7 u( F7 H- Y- r- v2 W 9 s1 R H* Y, F9 t* d# \4 T- ]7 e2 L
感染特征:0 |9 v$ F5 S- @. d1 M
1、被感染机器中存在如下文件:
0 q" [+ U3 f, w$ M1 @3 \7 u& F% \& M %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE' a& @, L# q0 x( O9 D
2、注册表中增加如下子项:3 z0 h$ k% G" m2 j+ b* [$ I
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
/ m7 L2 h1 @+ c5 SHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
2 K: `& E+ Z! U8 k! c% G 3、增加两项伪装系统服务:" j ?5 g, k8 l" \& r
Network Connection SharingWINS Client
( f) `) \0 c3 {* |( L6 D 4、监听TFTP端口(69),以及一个随机端口(常见为707);8 z/ [/ Z: o9 ^3 H9 }
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。* y+ l) n, E1 I% {, x; G
6、大量对135端口的扫描;1 e0 Q1 x9 z5 ]. ?& A+ ^
) ~, c7 z' f2 w! d1 u C
网络控制方法:% R% O% x6 f: x& z
( @- ]+ r H' p$ f
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
0 W ~7 S( d& l9 J5 k7 F UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机
& \+ C" j) b/ j s% d6 H- G! z 手动删除办法:) p! @1 k% d! o' w. c8 R
1、停止如下两项服务(开始->程序->管理工具->服务):8 v Q1 O' w/ R t
WINS Client Network Connections Sharing
) H6 q E. l& A) W" t, d 2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE/ p. @4 p0 ~ r' c# ?
3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
7 y- {9 H: [! wHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
, W. Z' n. y" q7 o" B w
$ g4 k% }: f+ f! d- ~! h |
/1 
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42