EEPW论坛

发信站: 南京大学小百合站 (Tue Aug 12 22:18:07 2003) 绿盟科技紧急公告(Alert2003-zh-02) Nsfocus安全小组(security@nsfocus.com) http://www.nsfocus.com MSBLAST蠕虫紧急公告！ 发布日期：2003-08-12 CVE CAN ID：CAN-2003-0352 BUGTRAQ ID：8205 受影响的软件及系统： ==================== Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows 2003 综述： ====== 绿盟科技安全小组的HoneyPot监测到一种针对MS03-026 Microsoft Windows DCOM RPC接 口远程缓冲区溢出漏洞的蠕虫正在活跃，危害极大。 更新记录： 2003-08-12 11:00 文档创建 分析： ====== 北京时间2003年08月12日，绿盟科技安全小组的HoneyPot监测到了一种新的攻击，绿盟科 技安全小组火速对捕获的数据样本分析和研究，已经明确，这是一个针对MS03-026 Micr osoft Windows DCOM RPC接口远程缓冲区溢出漏洞 （http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147）的蠕虫。因 为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系 统，不仅是服务器，也包括个人计算机在内，所以危害极大。 该蠕虫大小为6176字节。用LCC-Win32 v1.03编译，upx 1.22压缩，创建时间是2003年8月 11日7点21分。 蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在，如果检测到该互斥体，蠕虫 就会退出，如果没有，就创建一个。 然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run中添加以下键值： "windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。 蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕 虫的二进制程序msblast.exe。 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随 机在互连网上选择目标攻击。 一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标 系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp 命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。 蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁 的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Win dows 2003，但是可以造成Windows 2003系统的RPC服务崩溃，默认情况下，这将使系统重 启。 蠕虫检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windo wsupdate.com"发动拒绝服务攻击。也就是说，从2003年8月16日开始就会一直进行拒绝服 务攻击。 蠕虫代码中还包含以下文本数据： I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 解决方法： ========== * 检测是否被蠕虫感染： 1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提 示符中按照下面键入： C:\>dir %systemroot%\system32\msblast.exe 如果被感染，那么您可以看到类似的显示结果： C:\>dir %systemroot%\system32\msblast.exe 驱动器 C 中的卷是 sys 卷的序列号是 A401-04A9 C:\WINNT\system32 的目录 2003-08-12 03:03 6,176 msblast.exe 1 个文件 6,176 字节 0 个目录 2,701,848,576 可用字节 2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。 请在命令提示符中按照下面键入： C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\>type tmp.txt 如果被感染，那么您可以看到类似的显示结果： C:\>type tmp.txt Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "windows auto update"="msblast.exe" 3、在任务管理器中查看是否有msblast.exe的进程。如果有，说明蠕虫正在您的系统 上运行。 * 预防蠕虫感染： 安装MS03-026（http://www.microsoft.com/technet/security/bulletin/MS03-026.asp）的安全更新。下载地址： Windows NT 4.0 Server： http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en http://202.112.50.180/dcom/winnt/CHSQ823980i.EXE Windows NT 4.0 Terminal Server Edition ： http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en Windows 2000： http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en 中文版 http://202.112.50.180/dcom/win2000/Windows2000-KB823980-x86-CHS.exe 英文版 http://202.112.50.180/dcom/win2000/Windows2000-KB823980-x86-ENU.exe Windows XP 32 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en 中文版 http://202.112.50.180/dcom/winxp/WindowsXP-KB823980-x86-CHS.exe 英文版 http://202.112.50.180/dcom/winxp/windowsxp-kb823980-x86-enu.exe Windows XP 64 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en Windows Server 2003 32 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en http://202.112.50.180/dcom/win2003/WindowsServer2003-KB823980-x86-CHS.exe Windows Server 2003 64 bit Edition： http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en 安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断开 网络连接再安装补丁。 * 清除蠕虫 如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫： 1、按照上述“预防蠕虫感染”的方法安装补丁。 2、点击左下角的“开始”菜单，选择“运行”，在其中键入“taskmgr”，点击“确 定”。这样就启动了任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右 键，选择“结束进程”，点击“是”。 3、删除系统目录下的msblast.exe。 4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确 定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Micro soft\Windows\CurrentVersion\Run，删除其下的"windows auto update"="msblast.exe "。 5、重新启动系统。 Symantec 专杀工具 Download the FixBlast.exe file from: http://securityresponse.symantec.com/avcenter/FixBlast.exe or http://202.112.50.180/dcom/FixBlast.exe Save the file to a convenient location, such as your downloads folder or the W indows Desktop (or removable media that is known to be uninfected, if possible ). To check the authenticity of the digital signature, refer to the section, "Dig ital signature." Close all the running programs before running the tool. If you are running Windows XP, then disable System Restore. Refer to the secti on, "System Restore option in Windows Me/XP," for additional details. CAUTION: If you are running Windows XP, we strongly recommend that you do not skip this step. The removal procedure may be unsuccessful if Windows XP System Restore is not disabled, because Windows prevents outside programs from modif ying System Restore. Double-click the FixBlast.exe file to start the removal tool. Click Start to begin the process, and then allow the tool to run. NOTE: If, when running the tool, you see a message that the tool was not able to remove one or more files, run the tool in Safe mode. Shut down the computer , turn off the power, and wait 30 seconds. Restart the computer in Safe mode a nd run the tool again. All the Windows 32-bit operating systems, except Window s NT, can be restarted in Safe mode. For instructions, read the document "How to start the computer in Safe Mode." Restart the computer. Run the removal tool again to ensure that the system is clean. If you are running Windows XP, then re-enable System Restore. Run LiveUpdate to make sure that you are using the most current virus definiti ons. 附加信息： ========== http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147 http://www.microsoft.com/technet/security/bulletin/MS03-026.asp -- 希望 我爱的人 爱我的人 幸福到永远！ Homepage: http://www.yaoge123.com E-mail: my@yaoge123.com ※ 修改:．yaoge123 于 Aug 13 01:06:54 修改本文．[FROM: 218.26.113.66] ※ 来源:．南京大学小百合站 bbs.nju.edu.cn