查看: 8481|回复: 0

关于W32.Nachi.Worm蠕虫病毒通告

[复制链接]
发表于 2003-9-19 01:14:42 | 显示全部楼层 |阅读模式
2003年9月18日 15:57 CERNET华南网网络中心5 g' @+ E1 d" {) ]
   该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下:  
& ^5 G' H' U. @2 N+ `0 A6 n- i  影响系统: Windows 2000, Windows XP / Windows 2003
% ]# U4 v9 ^/ u/ B" |6 g) L  在被感染的机器上蠕虫会做以下操作:
. r2 f. @$ V4 ?4 D  1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)3 q3 K" o4 `! u) V0 c" v
  2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe
: ]( c% ?' M3 i2 I$ d; s- C. b! z* E  3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。' K7 P3 ]+ D' f
  4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除  W) r+ R, r& o: k+ }; T
  5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。% i. q6 Y7 `& T3 x
  6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
5 u) }$ G8 T8 f( Y) R& c  7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。4 C8 Q: f: m2 M# m% g8 P
  8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
1 l5 o4 s/ G) u  9、监测当前的系统日期,如果是2004年,就将自身清除。% n- m: u1 M  ]+ v
  , a- X. D9 j$ }9 m$ [& G; P9 }8 j
  感染特征:. o) ]6 H) X2 f/ |9 g* x
  1、被感染机器中存在如下文件:
; C( R$ j9 q, C$ |/ y  %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE( C4 ?  Q* m/ H
  2、注册表中增加如下子项:9 k) n+ p& T- s! N
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd/ G8 g. \3 A3 F- ?& z" T
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch# B, M- Y# {! o6 O
  3、增加两项伪装系统服务:# G$ J- H9 f& g9 p! H
  Network Connection SharingWINS Client& S. n' z" Z! o- ~5 O/ V
  4、监听TFTP端口(69),以及一个随机端口(常见为707);7 O3 F$ B8 _9 H4 ~) T# J. H
  5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。. `) W( P! g' g, l
  6、大量对135端口的扫描;/ v! M* B6 E% N5 v1 i. e  T( e  i
  
7 l+ D/ D7 ~2 h. W  网络控制方法:# R5 Q7 b' b. w, L7 ^, \
  : D2 W6 ]; S  W1 A
  如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:! L% v. U4 u# Q# W! W& J  A
  UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机
4 o  j) C: C8 \/ |; b2 w  手动删除办法:3 E3 F: e( K! j7 R- B) L/ D) {
  1、停止如下两项服务(开始->程序->管理工具->服务):
2 R+ E$ @/ Q8 h  WINS Client Network Connections Sharing & g! r: q+ J1 O, Q4 w  y2 b
  2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE$ V! Y9 j! E+ `% A# G- Q
  3.进入注册表(“开始->运行:regedit),删除如下键值:  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd7 A$ Q1 \' J& \0 p  @. ~- t
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch+ j. V. z+ r1 |+ p6 t- H
# s% J; k* h7 p( d6 a
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

相关侵权、举报、投诉及建议等,请发 E-mail:yesdong@qq.com

Powered by Discuz! X5.0 Licensed © 2001-2026 Discuz! Team.44152102000001

在本版发帖QQ客服返回顶部