2003年9月18日 15:57 CERNET华南网网络中心
" r5 ]) j1 G$ U3 w6 Z 该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。这些报文的特征如下:
0 P; f q) {; Y) C) b! F4 X/ u7 I 影响系统: Windows 2000, Windows XP / Windows 2003 3 u: m2 S2 b: d% m2 ?5 K( ~
在被感染的机器上蠕虫会做以下操作:5 J; j6 m0 n6 f( n7 Q7 _
1、蠕虫首先将自身拷贝到ystemWinsDllhost.exe(system根据系统不同而不同,win2000为c:winntsystem32, winxp为c:windowssystem32)% n' \& c1 Y0 v
2、拷贝ystemDllcacheTftpd.exe到ystemWinssvchost.exe
' f6 O) Q5 S/ g 3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列表以及提供这个列表给请求的程序。, U) m0 i1 B0 j6 Z7 _
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe文件,如果有就删除4 |0 ^4 j+ Y& O
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。/ y6 T- {$ f w# T2 q8 o
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
6 |2 Q% l6 B' {$ k; \; }* y 7、建立连接后发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到systemwinssvhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
: ~& L N& p, _3 ?5 H8 [6 Q5 @ 8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
9 q+ h6 ^: B0 Y2 v/ e% v 9、监测当前的系统日期,如果是2004年,就将自身清除。 C( l2 b; {0 \% X0 J. T- Z0 r
- \- |* D- q k- V4 { 感染特征:
5 ?( b& Z, `" P! z* {' }4 q 1、被感染机器中存在如下文件:
4 H! p) e" M8 i/ u. c0 Q/ Q1 r %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE
% h( [: r1 i2 p( l 2、注册表中增加如下子项:7 i8 P/ N+ W$ P
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
" [# b9 v5 G: D0 e1 C7 UHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch) K* }# {- _9 k4 }/ Z) G- K7 J! R
3、增加两项伪装系统服务:3 ^1 E( x* q. _2 D$ H% Z
Network Connection SharingWINS Client
6 v% B( ]! T) J* w, o m 4、监听TFTP端口(69),以及一个随机端口(常见为707);
) f. |, o/ v1 a2 s8 V- j- L 5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。0 m6 ~2 Q6 d6 x( b2 v
6、大量对135端口的扫描;
9 p6 h7 F) j, V" g( `) i( O) Y 8 G, J3 ]1 @7 j4 N
网络控制方法:
9 f* s& N! ?! H1 z( _* U2 X; m5 B* i) E 4 |. v3 V8 } @4 ?! @
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:. @2 J$ S7 A8 G, C
UDP Port 69,用于文件下载TCP Port 135,微软:DCOM RPC ICMP echo request(type 8)用于发现活动主机5 V6 L3 [6 w" m, X. Q
手动删除办法:
; p9 [, F: a7 D# x0 s; n! Y 1、停止如下两项服务(开始->程序->管理工具->服务):
2 q' h. q N0 ?- X% k+ r% q WINS Client Network Connections Sharing
W2 p; S: i }& W 2、检查、并删除文件: %SYSTEM32WINSDLLHOST.EXE%SYSTEM32WINSSVCHOST.EXE1 }; e2 x% u5 h1 G
3.进入注册表(“开始->运行:regedit),删除如下键值: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd$ u" ^6 o; O2 \, r7 X
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
. ?9 ?7 R0 R- |9 S
! Y" E% e& ^" I |
粤公网安备44152102000001号 
发表于 2003-9-19 01:14:42