- UID
- 64103
- 积分
- 0
- 精华
- 贡献
-
- 威望
-
- 活跃度
-
- D豆
-
- 在线时间
- 小时
- 注册时间
- 2003-7-11
- 最后登录
- 1970-1-1
|
发表于 2003-8-12 22:19:28
|
显示全部楼层
MSBLAST蠕虫紧急公告!(2003-8-12)
加入日期:2003-08-12
出自:www.nsfocus.com
MSBLAST蠕虫紧急公告!
发布日期:2003-08-12
CVE CAN ID:CAN-2003-0352
BUGTRAQ ID:8205
受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
综述:
======
绿盟科技安全小组的HoneyPot监测到一种针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。
更新记录:
2003-08-12 11:00 文档创建
分析:
======
北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(http://www.nsfocus.net/index.php ... 026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。
该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。
蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:
"windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻击。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
解决方法:
==========
* 检测是否被蠕虫感染:
1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入:
C:\>dir %systemroot%\system32\msblast.exe
如果被感染,那么您可以看到类似的显示结果:
C:\>dir %systemroot%\system32\msblast.exe
驱动器 C 中的卷是 sys
卷的序列号是 A401-04A9
C:\WINNT\system32 的目录
2003-08-12 03:03 6,176 msblast.exe
1 个文件 6,176 字节
0 个目录 2,701,848,576 可用字节
2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入:
C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\>type tmp.txt
如果被感染,那么您可以看到类似的显示结果:
C:\>type tmp.txt
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update"="msblast.exe"
3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的系统上运行。
* 预防蠕虫感染:
安装MS03-026(http://www.microsoft.com/technet ... 。下载地址:
Windows NT 4.0 Server:
http://microsoft.com/downloads/d ... &displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/d ... &displaylang=en
Windows 2000:
http://microsoft.com/downloads/d ... &displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/d ... &displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/d ... &displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/d ... &displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/d ... &displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述“预防蠕虫感染”的方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。
3、删除系统目录下的msblast.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其下的"windows auto update"="msblast.exe"。
5、重新启动系统。
截至目前为止,一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征,可以清除该蠕虫,请更新您杀毒软件的病毒特征库进行查杀。
绿盟科技产品的冰之眼IDS(http://www.nsfocus.com/homepage/ ... 决方案之一。
附加信息:
==========
http://www.nsfocus.net/index.php ... iew&bug_id=5147
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
声 明
==========
本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关 于 我 们
===========
中联绿盟信息技术(北京)有限公司成立于2000年4月,是国内专业从事网络安全服务的高科技企业,致力于网络安全技术研究、网络安全产品开发,提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案,并协助建立严密的网络安全制度,提高国内的网络安全水平,为客户提供强有力的安全保障。
中联绿盟信息技术(北京)有限公司成立后,其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪,对重大安全问题更成立专项研究小组进行技术攻关,取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网络安全评估系统、网络/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产品的技术实力和经验,已经推出了具有国际领先水平的安全产品系列。
中联绿盟信息技术(北京)有限公司定位于网络系统安全集成商,提供全面的网络安全整体解决方案、先进的网络安全技术服务和优秀的网络安全产品。
中联绿盟信息技术(北京)有限公司联系方式:
北京总部:
地址:北京市海淀区北洼路4号益泰大厦5层
邮编:100089
电话:010-68438880
传真:010-68437328
email:webadmin@nsfocus.com
上海分公司:
地址:上海市南京西路758号博爱大厦24层A座
邮编:200041
电话:021-62179591/92
传真:021-62176862
广州分公司:
地址:广州市人民中路555号美国银行中心1702
邮编:510180
电话:020-81301251,81301252
传真:020-81303835
(c)版权所有 1999-2003,中联绿盟信息技术(北京)有限公司
声 明
==========
本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关 于 我 们
===========
中联绿盟信息技术(北京)有限公司成立于2000年4月,是国内专业从事网络安全服务的高科技企业,致力于网络安全技术研究、网络安全产品开发,提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案,并协助建立严密的网络安全制度,提高国内的网络安全水平,为客户提供强有力的安全保障。
中联绿盟信息技术(北京)有限公司成立后,其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪,对重大安全问题更成立专项研究小组进行技术攻关,取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网络安全评估系统、网络/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产品的技术实力和经验,已经推出了具有国际领先水平的安全产品系列。
中联绿盟信息技术(北京)有限公司定位于网络系统安全集成商,提供全面的网络安全整体解决方案、先进的网络安全技术服务和优秀的网络安全产品。
中联绿盟信息技术(北京)有限公司联系方式: |
|
如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】;
如何回报帮助你解决问题的坛友,一个好办法就是给对方加【D豆】,加分不会扣除自己的积分,做一个热心并受欢迎的人!
|申请友链|Archiver|手机版|小黑屋|辽公网安备|晓东CAD家园
( 辽ICP备15016793号 )
窥视卡
雷达卡
发表于 2003-8-12 16:31:26
提升卡
置顶卡
沉默卡
变色卡
千斤顶
