TA的每日心情 | 奋斗 4 小时前 |
---|
签到天数: 2401 天 [LV.Master]伴坛终老
|
2楼
楼主 |
发表于 2004-5-15 15:31:00
|
只看该作者
W32/MyDoom.B 病毒(2004/2/4)3 [5 j! f4 o3 O0 u
* ?5 \8 s6 t/ U- X" J/ P1 k1 ]: A$ l; F) L, y$ p7 L2 U
W32/MyDoom.B 病毒
' A$ j. g# s, p9 N; q- ^+ m1 D8 u描述:. U1 f$ [) ]+ j8 i$ q2 V. n
0 f2 r8 k( i1 B9 @
W32/MyDoom.B病毒是W32/Novarg.A病毒的变种,是基于Windowns平台的病毒,与W32/Novarg.A病毒相似 ,W32/MyDoom.B病毒7 t" ?" M. S: s
是通过电子邮件或共享的形式传播的。如果用户打开了邮件中附带的不明文档或运行 了病毒程序,就会感染Windowns操作系统,# X3 l3 Z8 M& M* Z
W32/MyDoom.B病毒除了通过电子邮件的形式传播外, 还在本地系统安装后门(backdoor),并且进行网络扫描与DDoS攻击,产生大量的网络流量." X1 m6 j, f$ n
5 d+ r- [/ r( p$ h0 ~$ k0 I感染系统:, s2 D( z$ H6 z6 Y
Microsoft Windows 各种版本, [; O7 n1 ]5 h' u
病毒特征:
9 h8 v. B/ f; P, _1 S+ p k3 ^1。邮件:3 E. ?, x2 \8 y, c7 B3 [/ E
主题:
: N+ a' ^6 g2 }4 i! E7 f 可能包含如下文本:
& c. F( d, V7 | Delivery Error, 2 c( j+ j+ P+ y+ H7 T7 _3 }! z
hello# K6 `7 c9 T. g6 w3 K
Error) e w/ ?7 v0 a) L, P; d; f
Mail Delivery System
# _$ U+ K3 B3 a, V3 n5 n Mail Transaction Failed0 r, x7 |3 H4 @! A: g! S8 z
Returned mail ^$ f7 d" ]8 v/ s
Server Report6 z" ^2 _7 d. q; ? U' q0 x
Status
) d F1 u9 p: d5 T' d- ]% C; g/ R Unable to deliver the message
' b' S, B5 M5 c& r% a: f q- T, h8 e# o: b/ F. x4 W6 r) F
正文:, H5 m( x5 b6 t# n! q
.....
$ l8 S/ u& d& `* T7 p7 V3 r [一些随机的内容]) i) d- Z& A$ ~: O. [, M1 y
......" h1 ]' e. |8 g8 L3 s: I
test9 W4 ?/ v T/ i- O7 o- o
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
. t( @' O7 [7 ]' L! a) S$ x% A6 h sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received.
& q7 W% T1 a/ b7 r P$ [" H0 u The message contains Unicode characters and has been sent as a binary attachment.5 \; u+ B- a2 F5 [
The message contains MIME-encoded graphics and has been sent as a binary attachment.2 i( h7 Q( l7 U" a8 j1 L: m2 C* w
Mail transaction failed. Partial message is available. % T# E. E) o% O: ]; J$ g6 S: m
附件: % x4 `" r [' A2 t/ t
名称:body, doc, text, document, data, file, readme, message
8 Q( t( j. E: o9 H; I 后缀:exe, bat, scr, cmd, pif. B0 s/ L. y5 l6 v
7 g; @4 P0 E$ G% H! y6 L
2。共享的病毒文件:
/ s* y+ ^6 `, W1 { 病毒在系统中产生共享目录,共享的文件可能命名为{attackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack, * P; s0 ?$ Y/ Z/ t* i* S
MS04-01_hotfix, NessusScan_pro, icq2004-final, winamp5, xsharez_scanner, zapSetup_40_148}.{exe, scr, pif, bat}.
3 r' @7 l( n+ H
, W: L9 p& M1 s/ Q/ P9 K病毒运作机理:
s6 F. f! \1 K7 \* U 1。病毒在系统目录(%windir%\system32,Windows NT/2000/XP; %windir%\system,Windows 95/98/ME)下产生两个文件,1 H! K3 Z, x* n' y' U5 h
explorer.exe是主要的病毒执行体,ctfmon.dll是用来提供后门的程序。并且explorer.exe显示的不是执行文件的图标而是自定义的文本图标。
4 h! ?+ O, |7 _( V- i5 O( A7 ^ 注:合法的explorer.exe是在Windows目录(%windir%)下。
9 y/ {4 P# [8 D# w5 L, t' _ 病毒还重写(%windir%\system32\drivers\etc\hosts,Windows NT/2000/XP;%windir%\hosts, Windows 95/98/ME)下的文件,阻止DNS对一
% x! t& T5 |3 p 些站点的域名解析(其中包括许多知名的防病毒公司的站点) 。
8 Y" \9 ^% ^, [5 ?0 _2 L 2。病毒拷贝生成的病毒文件{attackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack, MS04-01_hotfix, NessusScan_pro,
; a0 {9 b! L' z/ O- H$ ] icq2004-final, winamp5, xsharez_scanner, zapSetup_40_148}. {exe, scr, pif, bat}到共享的目录中。
) p: I9 m* ~/ I7 V 3。病毒修改注册表以便自动运行。
7 r; W! V5 ^- F6 R& S1 p [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
: O% n3 A, c, j0 O "Explorer"="C:\WINDOWS\system32\explorer.exe" h/ p4 l8 g5 w0 {
2 p3 n8 @& r; p, D [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
& [6 O g: |* o4 L @="%SystemRoot%\System32\ctfmon.dll" (REG_EXPAND_SZ)
@1 y% }6 ` E# `% P 而正常的注册表值是 %SystemRoot%\System32\webcheck.dll (REG_EXPAND_SZ)
) |) r* e8 A6 i2 [$ d' L. G$ o; L! ~0 @: i( A Q
4。W32/MyDoom.B病毒收集被感染了系统的邮件地址并通过自带的SMTP发送带病毒的邮件。这个特性的一个显著特点是在安装有病毒扫描的邮件服务器' I; z4 c0 E. C
会自动对感染的邮件回复,并把邮件退回给发送者,并产生不可发送报告。+ w% j4 j9 C" N% w4 V
5。后门程序ctfmon.dll打开1080, 3128, 80, 8080, 10080/TCP端口,入侵者就可以通过这些端口控制 本地系统。
, W, {/ F5 y' {" u3 s5 r' ?# n 6。病毒扫描监听3127/TCP端口的机器(有可能是3127-3198端口)。2 p4 e/ U4 {7 H
7。病毒对www.sco.com(2月1日),www.microsoft.com(2月3日)等站点进行DDOS攻击。
' N* t( o! ^/ U; v! l/ t7 J3 {9 w9 v! `6 E& [+ o, k
解决办法:
4 z- P3 F) |7 ^9 L5 S J7 W9 @4 d* Z! y* A7 ` n/ O
1。对系统管理员
8 E+ i5 Y0 O" c, m" L7 q 在防火墙或路由器上限制1080, 3128, 80, 8080, 10080,3127/TCP端口数据的出入。, n# I8 H2 ?* E5 M4 t8 g3 A& S
对安装有防病毒系统的邮件服务器,应该禁止对明显感染病毒邮件的自动回复,至少应该把含有病毒的附件删除。
1 ]1 W: Q4 t) m2。对用户8 K9 q% S2 [' F+ }: g2 \ |. K
不要运行不明来源的程序。
3 F6 V6 c8 e6 K; ^+ s 安装防病毒产品并及时更新病毒定义文件。' K/ L) u& P" m8 F. W2 y6 V
系统恢复:( G+ u! K" `$ w- S% t/ s
识别病毒进程explorer.exe(注意和正常的explorer.exe进程的区分),在任务管理器中或第三方的程序杀掉病毒进程,删除病毒生成的几个文件,3 m! r5 \- ^" q2 O- x6 p/ R
恢复正常的hosts文件。- T( F+ R6 }( I+ m/ @, F% Y
& K# D0 y+ t& a
翻译并改编自http://www.us-cert.gov/cas/techalerts/TA04-028A.html
" C3 J! s% p- M' I* f2 S2 t" x6 n% c Y, l% O- `
0 D: V: d; W7 Q+ |9 C( S% b
PC机防病毒服务
! B% a4 p! @/ `8 n. ?3 N. T1 Q6 ~
1.点击下载---诺顿防病毒程序
- N ]) x; y3 h: k2.运行下载到本地的诺顿防病毒端程序,进行安装。
, h& V2 t8 D( o3.点击LiveUpdate按钮,更新本机病毒定义库(或重新启动机器)。
- d, H% z" z2 M. W6 U5 [
* l( W9 H9 ?4 E }: S8 i1 Y* _# ?% ?( {4 m! Z: A1 ~
Windows的Workstation服务缓冲区溢出漏洞。(2003/11/12)
, G7 K4 O, b" L! i. ~# `0 ^$ S
. T5 ^$ t7 R, y; {; O3 h描述:
" Z' P4 m- i5 R- d3 Z7 xWorkstation服务是Windows操作系统为本地文件系统服务、远程文件系统服务或者网络打印请求提供资源所在的位置,并决定服务请求是基于本地系统的还是网络上的其它组件。如果Workstation服务停止,则缺省所有的请求服务都是基于本地的,Workstation服务是Windows操作系统缺省启动的服务。攻击者利用此漏洞可以对系统拥有完全的控制权。
2 g5 \( c4 [/ x `9 q( t3 y* w5 J' O3 O0 q6 { u) x
危害程度: 高 + ?9 [6 P2 ?! n$ M
# E, {( Q1 V0 i9 f _影响系统:" x: k6 b3 d. W& ?
Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
& J) v% h% G- {$ R: K! TMicrosoft Windows XP, Microsoft Windows XP Service Pack 1
/ c* T% B4 @& `" w8 q0 PMicrosoft Windows XP 64-Bit Edition, a5 \2 o; Y0 s1 Z" U4 o- p; p1 A
( F) p% z: B" }6 t9 t补丁包:" M" W( ~6 `( L& |# |2 K& S f
1.Windows 2000:
6 v' y# L& |( l, |Windows 2000英文版
& T3 S2 p/ G* C8 k9 dWindows 2000中文版
5 f; |' ]$ V$ o1 E) s' z: U
# B! [2 |' A; }0 j8 F0 t* X m2.Windows XP:& u3 s3 o$ V( ^: b' b) G6 P
Windows XP英文版
. P: S# }& h0 \1 ^3 kWindows XP中文版
. \1 f, ?$ X- H/ Z
, j3 V9 {2 Z' G& }
0 ~( l; o9 c: o( \8 S3 [9 {1 I$ d: Y
; w# u% Y- Z4 D9 Z' C0 m# S4 cWindows的RPCSS服务缓冲区溢出漏洞。(2003/9/12)
/ c2 W& P0 _6 C. O! n" L- D+ G4 }! x, Y) H7 ^
9 O' |, p( R. x* F. `2 t描述:0 q; U5 ~8 { { Q. b; w! ?% Y
RPC是Windows 操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的 RPC协议,Microsoft在其基础上增加了自己的一些扩展。 Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。 这些漏洞是由于不正确处理畸形消息所致,漏洞实质上影响的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。
! g7 N6 T& o. B7 L9 m
: }4 z( j8 n( Q/ t) s+ K2 w0 ~危害程度: 高
/ u8 w8 x4 X' s影响系统:- y! |: ?0 w0 B0 n$ ~) V4 a
Microsoft Windows NT Workstation 4.0
# `3 o0 C7 a0 G" L; cMicrosoft Windows NT Server? 4.0
: t" M3 M9 u! hMicrosoft Windows NT Server 4.0, Terminal Server Edition % p+ L+ h9 }' l, V3 N4 e, @
Microsoft Windows 2000
- D' }/ t( B N( N) C+ yMicrosoft Windows XP $ f3 l( W1 y, G% Q7 k0 U
Microsoft Windows Server 2003
$ B+ ~& f: l$ s7 k8 K3 M7 D' t9 s
不受影响的系统:& x2 f: h2 p9 A
Microsoft Windows 98' o3 v' H# C$ m: ?8 E- q5 ^, |
Microsoft Windows Millennium
: F$ T5 C1 ^. B) X4 k% j2 ^' m
# J; `1 O @/ d7 v& E# ^补丁下载:% B6 C2 N. E3 W% `- g9 s! |& A
4 M0 Z7 X8 n0 @" X4 j
Windows2000中文版0 y; Y; n' d [. y' E" E
Windows2000英文版; K0 w! t4 c3 W5 B. _ P9 N" U
WindowsXP中文版
+ v9 h) {7 u" N0 j" MWindowsXP英文版 S/ k' F5 i1 g+ W% g
% o z, D* R" j. E
0 I) W0 e% ]5 r
解决W32.Welchia.Worm病毒的办法
) Q& _2 V2 c9 G$ T. Q C) ^; B- M) v' G' i
一、最简单的清除办法:
. y/ p2 Q; N6 V% C h9 O! }- A由于该病毒有自清除的特性,可以修改系统时间年份至2004年,并重新启动系统,病毒即可清除,然后安装漏洞补丁后再矫正系统时间。
8 p$ T6 z/ o+ D2 A- G6 x- W" E
0 `6 Q4 d1 T( r. d1 K; @, {# }+ [二、自动清除W32.Welchia.Worm的办法: ! _7 Q r: T& G# {/ R
1、下载Symantec提供的杀毒工具
2 R: {8 a b" ?, T( [. V2、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
" z5 l5 C: M4 c3、运行杀毒工具。 $ P2 Q; C, S8 I' H+ q9 d, }: U
4、重新启动机器。 1 _3 |- m4 ]" {4 x0 ~
5、再次运行杀毒工具。
, _0 n! U6 t4 u$ q5 f1 I( G+ W6、立刻打补丁和更新病毒库。; B' ?6 h) e& A5 I- C
7、如果在2步骤中禁用了系统恢复(System Restore)功能,请重新打开。 6 z6 h" o' W0 v( d! T$ k' f) p
' Z1 U7 A; Y1 R& A$ N2 _, kSymatec提供的工具:
( ?9 q. \) r9 R+ z点击下载 Symatec Tool
; J: E. v& U) ]( E" G% I; @补丁: / [) O4 k7 c% ~3 _
1.关于RPC的补丁:& F1 q+ o+ J( V2 ?" Q N
Windows 2000 ! E4 c) {' m% s. k: M& {
Windows XP
# a& N% n# c4 C2.关于WINDOWS2000系统:
7 h" A! n2 z: |' k3 [windows2000_sp4 % Y0 }3 J- ~$ C5 K
三、手动清除W32.Welchia.Worm的办法: 7 o8 E6 u7 c% V5 X
1、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
h- n1 }% X1 p8 Y. f- x/ e0 J2、在任务管理器关闭Dllhost.exe进程。
0 O) o& f5 P- \1 ?3、进入注册表(“开始->运行:regedit),删除如下键值:
& {8 ]! P( {; THKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
6 h. h6 z5 t3 z2 THKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
9 v3 m& u) g6 V: K, A! \4、检查、并删除文件:
# E$ j; d/ |) m* j%SYSTEM%\WINS\DLLHOST.EXE 6 w6 n% A5 g3 e2 W& e* u
%SYSTEM%\WINS\SVCHOST.EXE
0 D% ]# |% n8 o1 b: i2 W6 E, C j6 A: H" b* P3 r* ]! d# W, [
其中%System%表示(系统须是缺省安装目录):6 l' _0 T6 \; O* l. p
Windows 95/98/Me C:\Windows\System+ `5 K q% g/ y! w
Windows NT/2000 C:\Winnt\System32 3 Y- v) k% _0 Y+ m+ t# }
Windows XP C:\Windows\System32* K$ S' _% H: m$ T- [- z2 X
, e/ [0 o. a( \9 S5、重新启动机器。
5 K1 H& X3 [! x) v8 S. a, x- a6、立刻打补丁和更新病毒库。$ g) k1 d& o4 [3 G: o# I* w
7、如果禁用了系统恢复(System Restore)功能,请重新打开。
. n% J- i r% o
3 N# I, x* h. y! ^! _. f! ]$ I9 ?7 hCCERT 关于 W32.Nachi.Worm 蠕虫公告。(2003/8/19)
$ t, r7 n/ K1 u3 q- i. w
- W4 N% \& T6 H; w + P0 ]- E5 n8 R; b$ L4 M1 T$ N7 ]6 {
CCERT公告编号:2003-017, K/ b: W3 `: O0 c3 d
: |# x& d5 T/ J$ `8 j$ @/ s影响系统: Windows 2000, ! B# W# F, @* g* L2 \
Windows XP ,
3 w" b# V' E4 L. F8 J Windows 20031 x ?7 K5 n- q6 u
CVE参考 : CAN-2003-0109, CAN-2003-03525 C- I! S& t4 z2 S
q0 X7 D5 t0 Y* V& w别名:
, ]. C# q/ s( ?# N 趋势科技 MSBlast.D% r! ~4 @1 _8 g+ Z
F-Secure LovSAN.D- S9 g! ^6 P0 |( i3 v; [
NAI W32/Nachi.Worm* L5 b4 _' x6 Z; _: k6 E& D
Symantec W32.Welchia.Worm: x) ^! X( Y3 Y$ d5 I
6 N. f6 T$ g1 m! h
简单描述:
! j" i6 n3 e" {该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞: ^0 v4 V8 t. o3 L, v* H
(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48)
2 ~. n7 ~4 ^) w% |和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
- a* x+ O4 B/ t# X! S(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=28)" ^. X* h8 o0 r# f
进行传播。
$ u6 f9 K9 P- h6 m# O( x; }如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补2 a/ R2 @- L/ s, z8 D
丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。3 o4 H; y: g2 P7 e$ q
ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。
/ u1 d0 c; u# h* f' O: D(ICMP流量增长趋势参见附图)。8 L6 L f/ u) J
+ Z) m& d2 m* P: v6 {9 l5 X/ U" l
这些报文的特征如下:
7 I) c6 d- M2 w% s8 r" O) h3 @1 h& N' K T
xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request6 l1 f& I. Z; V8 K( w
4500 005c 1a8d 0000 7801 85be xxxx xxxx. S3 c) h' h' P) i
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
f6 C$ P. H2 s0 U! b# H aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
# j& q0 p& I$ C7 } aaaa aaaa aaaa。" f" ~/ P* X% D T0 N' X# h
/ d5 p/ Y7 T9 J4 m( D" C蠕虫的详细信息:
8 B% |1 w* G5 C
6 ~& i' [) |3 r: Z5 {* N9 l0 S& R在被感染的机器上蠕虫会做以下操作:
( ^' t* s; E5 @6 y# L+ V! }1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe 9 H, R, Y/ M7 g9 _2 b( I
! k! h; P M' D6 F% |(%system%根据系统不同而不同,win2000为c:\winnt\system32,winxp为c:\windows\system32)! S6 h' ?# O4 |, C, V, K& o6 G
1 f4 B" ~! f# r6 u8 X3 n
2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe
. {' n, `/ W' ^7 S Q6 [1 u1 d, P: A6 Z A+ |$ C
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝* J- i' d) X0 S) Z; u1 n6 P+ m
Distributed Transaction Coordinator服务的描述信息给自身。
0 Y& k9 b {$ k( H5 a1 E 服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或
; O1 ~2 f$ k* W- {4 a 其它事务保护资源管理器# U6 z2 Y" H7 I4 u
1 j6 _% r4 T5 Q$ N3 ~2 u
创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。
/ e, h" t& }$ \# u, r 服务的中文描述信息为:维护网络上计算机的最新列 表以及提供这个列表给请求的程序。% T+ L+ g' d+ W: C6 G
* F& x& }! J- E3 T( ~/ [
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe( ~. E N; K2 ^' ]& O% p' G
文件,如果有就删除。3 [0 z" V* ]$ P
" I* ~$ o" Q$ m! |
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。" [( _& A1 Y" u) H/ m9 f
7 u: T, X. ?# O! {
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。( g$ p0 X; ^8 I o( Q
溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况; g0 P d$ j7 h# ?6 |. C
看,通常都是707端口。
8 q7 X( ]% U, ]' k; u# R/ C" q7 A
* S3 J. p5 `' k, N W+ _% r7、建立连接后发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据# e- N4 _4 k0 H
返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷+ U/ k# B5 I( ^. r8 v
贝到%system%\wins\svhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。# i: h! R0 S: |" |0 B
6 d# ~3 Z/ z. _( W
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁0 h a1 `% P; h5 m, V' x2 r' J# x
并安装。如果补丁安装完成就重新启动系统。
y2 V1 _, h/ d" H
8 q+ |' N9 R4 M1 w x- Y! R; @9、监测当前的系统日期,如果是2004年,就将自身清除。- `/ D+ Y b" y) S3 _
9 r1 ^. v$ Q5 O, l3 ?3 }2 J# O; |
* I* I3 e( Q, }1 q2 H' k
感染特征:
, c6 J) y3 O; }8 Q; i1、被感染机器中存在如下文件:
6 T$ J" c" x& b%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE8 w6 b6 E7 W) P+ E# h8 G! V
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE( S1 J3 ]& x7 J ?
2、注册表中增加如下子项:
" s3 J1 b; Y b1 A& |7 I% lHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
# E+ `$ u3 p- `& pRpcTftpd2 _* k) [+ \7 S D! X
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
" e" c5 X8 X9 K1 B' ZRpcPatch
& h) s+ E* }& k% u" w3、增加两项伪装系统服务:5 ^& Z" n' h0 }: G) H7 }2 a, B
Network Connection Sharing+ ~; ^/ B& W* m& f6 D: ] F/ b9 @
WINS Client/ K' x( ~+ f& e) V, L
4、监听TFTP端口(69),以及一个随机端口(常见为707);1 J' O5 h5 Z4 c: h" p; v
5、发送大量载荷为“aa”,填充长度92字节的icmp报文,大量icmp报文导致网络不可用。# k w8 G# n9 B/ T$ Z" ~
6、大量对135端口的扫描;( q2 h0 S1 S" d5 S3 @% e
) t& q; t9 I- b6 ~9 m
, b$ v" x* e1 j$ A; L/ N网络控制方法:
& }' H1 ]9 e, r. G2 H# C/ o9 n6 }$ c2 `5 o
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:& y7 ]( A' V+ X* g+ g# Z
" Z' r4 Y3 Z0 y; ~; @. i- R
UDP Port 69, 用于文件下载/ h, Q6 V! ?& r/ b
TCP Port 135, 微软:DCOM RPC
3 }4 J7 z. M, DICMP echo request(type 8) 用于发现活动主机 + B4 L4 c7 ~+ \& Y1 @) o
使用IDS检测,规则如下:8 x& @& \) e7 \6 y, @2 n
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";& h; ^1 |, ]* R; G- Y" z7 ]2 t
content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:# C* Q$ k: e7 _ U; T; R
http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;)
4 ]2 Z+ P$ i6 ~6 Z
# `4 o8 q9 G; }3 s; v+ O" J# `! L; d' u: n
被感染计算机手动删除办法:
# `! g( @# n( |' g ^& \2 B4 ^2 _3 I1 ~; {) a
1、停止如下两项服务(开始->程序->管理工具->服务):
# `) R( |6 W2 v8 YWINS Client
' n# |% |3 _9 w* v7 ^) h- CNetwork Connections Sharing - ]$ w+ v: u- Q( Q
% K' r& K/ ?$ K) R2 y! K+ W$ F
2、检查、并删除文件:
, o" V6 W, `: d/ b8 l1 G3 j%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE( e3 Y+ g) k3 e+ u7 K
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE K% {; ]$ N; T* V" F# V+ F$ J; K2 X
0 V# l' ]- I- W& S% y5 w" I
3. 进入注册表(“开始->运行:regedit),删除如下键值:. x& I: L8 d: k" o" q5 s! d
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
8 B& k2 s3 m0 c7 QRpcTftpd- b- p& h3 m# u
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services6 ^$ h" V6 V+ ?7 J. p1 m5 k
RpcPatch
: N! C0 e: M% N
0 ?# u# @% R1 c. E3 g' x; |0 y4. 给系统打补丁(否则很快被再次感染)
+ o1 I H; K0 r- k! W本地下载:
; g) o1 e2 }& ?) mWindows 2000 1 I# f! r0 U4 j, g! z
Windows XP 1 |6 s3 Y7 m, p* B; F
MicroSoft: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp # q2 a R2 F1 e4 r
- L: A& C, Q2 b
$ I) a9 p1 ?; z. f6 F8 q* q- A! y利用Symatec提供的工具清除:/ K o; n" i! G
点击下载 Symatec Tool
; g! s" b0 C: z* o1 B下载后运行,然后重新启动机器,再重新运行一遍此程序以确保系统是干净的,运行完毕马上打补丁。
5 M6 P, \( K+ K, R( n其他参考信息" V( ~! y# t% M: S; v" _
1 s" R( N& C4 h7 c) [* R& |# ]) r
1、http://vil.nai.com/vil/content/v_100559.htm. E, a. T" m# k7 ?, X6 b+ K" M$ \
2、http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
; E1 c7 v& j4 r0 `% S+ a" o3、http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html2 A, G2 s4 ~) ?# J; U6 U
! p" ]8 O' j5 l* Y中国教育和科研计算机网紧急响应组(CCERT)$ t+ o+ f1 `; g& R0 g# A( @
2003 年8月19日
! `. ?: [7 K2 Z T9 R, W% r: S. S% v
9 R/ ?6 L7 K; i8 h: Q$ ^2 f关于W32.Blaster.Worm蠕虫的解决办法。(2003/8/17)
3 Q6 a# }: }3 |$ u2 f- J
8 M: U |# p7 w) h$ ` : O- [/ k3 }% `; g5 q
影响系统: Windows 2000" ?& F" e8 h: o- L6 F4 M2 a
Windows XP
( _( E, L# x. S y Z- W5 B6 ] Windows 2003
$ X8 g) J* I$ F! G% l- _$ dCVE参考: CAN-2003-0352
2 e, n8 E: ~0 e' x) W3 |) T! O. KMcAfee 命名为:W32/Lovsan.worm
" P/ S! o1 ]3 p7 v' q
( G& D6 S3 B# M* r简单描述:
4 S) }/ {7 o# h) E( @3 ZW32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫,传播能力很强。
$ M8 M2 C+ [+ J6 i9 \5 M( h. W详细描述请参照Microsoft Security Bulletin MS03-026. D* l- T/ U; M% f; _; q2 D' l
(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
: b' \; d: H0 b感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是TCP/135, 5 \. `2 T& J/ j, u
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.4 `4 t8 N. h- E% t
这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您
7 Q, X0 p0 `9 I$ D* W及时地得到这个漏洞的补丁。1 M9 e! i. C$ e% {0 S- M) G* r
, G% n' M" @. w+ ]' O9 `% ^8 Y& @* o$ j5 R5 C! T# J8 Q6 m
感染病毒计算机的特征:6 ?% M% E4 M% R
7 s$ ^2 K1 H/ ?& t 蠕虫攻击不成功可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,RPC 服务停止;
! r9 y" @- p7 t' ?1 A 建议你重新启动计算机,立刻打补丁(下载地址见下文);$ A" `: w- A; G* L# ?
& l2 u/ W4 H' B) ^; N, W" c0 q 1. 被重启动;# ]# G! N: X& O+ h; B0 s
2. 用netstat 可以看到大量tcp 135端口的扫描;) t& }" W$ x% t1 \ g
3. 系统中出现文件: %Windir%\system32\msblast.exe
/ n" c& I( W3 \& @1 b! S+ J 4. 系统工作不正常,比如拷贝、粘贴功能不工作,IIS服务启动异常等;* k8 E" P3 x$ ?: \9 R4 K
6 y6 n% w M# Y- [+ u5 ~8 g& h5 p
解决办法:5 A$ u% p! J' J O% h( J
( y2 D: v4 l! R O' t( h( g
1.利用Symatec提供的工具清除:
7 V' R! U$ T% y4 u' t2 |$ D. G! d 点击下载Symatec Tool,然后打以下补丁程序:
" |& ]) @8 g- t# f Windows 2000补丁2 }9 G+ q2 U1 l1 X7 n
Windows XP
9 n& x* ^& |8 U1 f4 B , a1 [' \9 P+ {/ I
" k' \$ O/ ]: B W
2.网络控制方法(防火墙控制办法):1 v V$ M6 t, s5 O' u' ]) A/ M0 E
, J& Z; T+ I1 W& M
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上
. u* \4 N. u2 l! a5 T% Q阻塞TCP port 4444 , 和下面的端口:) h+ e# Y' X2 T9 C/ o
/ B5 G% |8 L3 q5 b/ W1 D4 _ 4444/TCP 蠕虫开设的后门端口,用于远程控制 3 D+ A; a- ~4 [) k$ T! h
69/UDP 用于文件下载
4 o9 w' S" E6 _0 a) C 135/TCP 微软:DCOM RPC
9 }: U1 e, y; v* y# W 135/UDP
4 Z1 E6 e+ T+ }' s2 d 139/TCP
$ \" p2 s3 p: {4 l% L, T 139/UDP
0 x6 N, Q, w; n 445/TCP
) p2 v1 j; Q& y% o( G' F 445/UDP
/ S+ T, C7 A0 S 593/TCP ( s) z9 R: r& E7 W( `' N# K
7 `# G+ @2 A; g6 ^
; ~' x# c7 S# F+ k) s 3.手动删除办法:
4 C* N# h& M3 G! `
8 r0 h/ P2 Z0 S 1. 检查、并删除文件: %Windir%\system32\msblast.exe- f) h7 N- u K; S5 ~, z
2. 打开任务管理器,停止以下进程 msblast.exe .# n4 h" |% H; n" j" p! @
3. 进入注册表(“开始->运行:regedit)& P. r! O, O( ?9 k9 }; z
# \* l; U1 d" }: r
找到键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
5 P5 _5 N& W. _4 v9 D$ Z0 X* O9 ?& w0 B* `( x
在右边的栏目, 删除下面键值:
& }& Y7 J1 S: V( ]9 B @% D, F/ [+ V% I0 a ]; Q O
"windows auto update"="msblast.exe"+ c% M. ^- m1 h9 y5 ]7 k$ b
9 M, E- e, P& f) ?' u 4. 给系统打补丁(否则很快被再次感染)
1 i# X) Q B) h W: y8 D+ a7 K! \- p) j6 o
本地下载: 5 t+ V# _6 |; }" q1 N+ d j. p0 o
Windows 2000补丁: R3 X. W0 `0 y4 u: H
Windows XP 9 [# ]% L/ s- d# w8 @
安装补丁遇到的问题:: Q0 d9 L0 q7 G6 c
1, 如果系统为XP,系统提示安装程序不能验证update.inf文件的完整性,0 x9 z3 S/ B2 Y/ a& E' {! P
请确定加密服务正在此计算机上运行。
0 Y* Z- }0 j2 O2 l* j 解决方法:
6 @( ?8 e" ?5 \5 C, n1 p- B& j; ~ start cryption service。 6 ?' b! M! Z0 ]. |8 v* X6 q% o( `
# \6 g0 |0 p, V: a& @( p8 a 2, 如果系统提示,安装补丁的语言系统和系统语言系统不一致。
% n" Q7 G& E) q# c 解决方法:
) g6 F9 L, n# f- K6 a b- B) A 安装ENU版本补丁,其原因是部分中文XP内核仍然为英文,所以安装中文版补丁会提示出错。
H7 A4 l4 ]! T: p2 V& x
" \( L$ v& p1 z2 c" z/ \0 m 3,装完RPC补丁后机器启不来(黑屏)。9 Z6 m1 S4 m( v0 Y6 R$ t
解决方法:
! x1 _% H3 ?3 m$ ^3 E" Z 把主板上的电池拔下来放电(够长时间) 7 Y/ k" \# i4 u
# e% l) c+ L' C 4,XP系统,上网就重新启动,无法下载补丁4 ?4 n' `0 S% o: Y# f
解决方法1: # c x% [; S, y9 v u1 C, H1 s
先进入“计算机管理”,--我的电脑->管理
7 T! V1 W8 p, S* n; Y 选择“服务和应用程序”, / B3 D8 K. w2 b' U s
然后是“服务”,在右边的列表中找到“Remote Procedure Call (RPC)”, ) j7 I% u: \! k
打开其属性对话框,在“恢复”页中将失败处理改为“不操作”。
2 F3 ^) m+ }' B/ W5 S) P3 k7 S 解决方法2:) b* h- |+ M$ C( I1 j" ~
可以在出关机提示的时候把系统时间往后调1个小时,这样就能延长一个小时关机... 6 r7 A j1 G, g: [5 K
' B3 F( W3 [0 P# s6 e
5,安装了相应补丁后仍然不断地出现SVCHOST错误,或者重新启动。9 g. W+ p0 o( v: Y. X7 \* R6 T
解决方案:. Q, f. \( F* L
打了补丁没起作用的一种可能是你当时显示打补丁成功,但实际 / [2 z; w$ z" ?$ W
上那几个dll未被替换成功.MS的SPn不会出现显示安装成功却实际! Y$ z; g! [: {! @4 c/ h
未成功的事,但hotfix 会出现这种事。某些时候安装hotfix之后,0 o. a* j/ ~" r& e; c/ \/ `
显示成功,从注册表里也看到反安装信息,但实际上可能未替换文) p8 `7 y4 t o5 ]
件。一般此时最好是卸载hotfix,重启动,重新安装hotfix。
, d. u$ [( P3 Q6 g8 s6 t1 \ ; [$ b3 r* o) V; R8 F
另一个情况下,ms03-026未补完全,ms正在重新制作非紧急响应型1 B) d8 c) K7 b0 x3 o
的补丁,你不是被蠕虫打得重启,而是被人攻击, 就有可能打了1 d' a5 }9 W) Z# v/ H
ms03-026也无意义。. f1 J# S) ?, y
6 ~9 h. ^3 x* d- b
更多补丁信息请参见: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp+ j# j( a! l: D" B, L% M! l& [
# A$ U" N: S- HFROM: http://www.ccert.edu.cn/- z3 T3 ?/ l; g* }" l/ ~! L
7 M/ y( G4 s/ L# F" ~9 `
|
|