本文发表在 rolia.net 枫下论坛于8月12日起,INTERNET出现利用RPC漏洞进快速传播的蠕虫病毒,并命名为:“冲击波(新流言)”(Worm.MSblaster)。RPC漏洞会带来更大的危害,更强的传播性。事实上,在漏洞出现的时候就陆陆续续的出现了各种针对此漏洞的多种蠕虫病毒,早期的这些蠕虫病毒只是攻击此漏洞,造成远端系统的崩溃,而“新流言”的出现将漏洞的危害发挥到极致--它利用漏洞进行快速传播。我们有理由相信,在近一段时间内将会有更多类似的蠕虫病毒出现,将会掀起新一轮的蠕虫攻击狂潮。该漏洞会引起如此巨大的危害,是因为其应用的广泛性造成的,它会对x下列微软操作系统平台造成危害(简单点说就是除了9x/me外的所有的微软的操作系统)。
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP4
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
Microsoft Windows NT Enterprise Server 4.0 SP6a
Microsoft Windows NT Enterprise Server 4.0 SP6
Microsoft Windows NT Enterprise Server 4.0 SP5
Microsoft Windows NT Enterprise Server 4.0 SP4
Microsoft Windows NT Enterprise Server 4.0 SP3
Microsoft Windows NT Enterprise Server 4.0 SP2
Microsoft Windows NT Enterprise Server 4.0 SP1 Microsoft Windows NT Enterprise Server 4.0
Microsoft Windows NT Server 4.0 SP6a
Microsoft Windows NT Server 4.0 SP6
Microsoft Windows NT Server 4.0 SP5
Microsoft Windows NT Server 4.0 SP4
Microsoft Windows NT Server 4.0 SP3
Microsoft Windows NT Server 4.0 SP2
Microsoft Windows NT Server 4.0 SP1
Microsoft Windows NT Server 4.0
Microsoft Windows NT Terminal Server 4.0 SP6a
Microsoft Windows NT Terminal Server 4.0 SP6
Microsoft Windows NT Terminal Server 4.0 SP5
Microsoft Windows NT Terminal Server 4.0 SP4
Microsoft Windows NT Terminal Server 4.0 SP3
Microsoft Windows NT Terminal Server 4.0 SP2
Microsoft Windows NT Terminal Server 4.0 SP1
Microsoft Windows NT Terminal Server 4.0
Microsoft Windows NT Workstation 4.0 SP6a
Microsoft Windows NT Workstation 4.0 SP6
Microsoft Windows NT Workstation 4.0 SP5
Microsoft Windows NT Workstation 4.0 SP4
Microsoft Windows NT Workstation 4.0 SP3
Microsoft Windows NT Workstation 4.0 SP2
Microsoft Windows NT Workstation 4.0 SP1
Microsoft Windows NT Workstation 4.0
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Datacenter Edition 64-bit
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Enterprise Edition 64-bit
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
为了防范此漏洞带来的危害,请各位广大用户赶快为您的操作系统打上相应的修复补丁,下面是微软补丁的链接地址
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
如果,未能即时下载补丁的用户,请用防火墙禁用135、139、445端口,以免受到蠕虫的攻击。
遇到以上问题的朋友请详细查看以下分析以及解决方法:
发布日期:2003-08-12
受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
综述:
======
目前监测到这是一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。
分析:
======
这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。
该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。
蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:
"windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻击。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
解决方法:
==========
* 检测是否被蠕虫感染:
1、检查系统的windows\system32目录下是否存在msblast.exe文件。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。然后检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中是否存在"windows auto update"="msblast.exe"
3、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。查看是否有msblast.exe的进程。
(如果以上全部三点或者至少一点你的电脑系统中是查出来包含的,那么你的电脑就是中了MSBLAST蠕虫了!)
* 清除以及预防蠕虫:
安装MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:
Windows 2000简体中文版补丁:
http://218.29.0.250/Windows2000-KB823980-x86-CHS.exe
Windows XP简体中文版补丁:
http://218.29.0.250/WindowsXP-KB823980-x86-CHS.exe
Windows 2003简体中文版补丁:
http://218.29.0.250/WindowsServer2003-KB823980-x86-CHS.exe
Windows XP 32 bit Edition:(如果你的WinXP不是简体中文版本,请使用此补丁,安装的时候请大家自己选择适合自己系统的语言!):
http://microsoft.com/downloads/d ... &displaylang=en
Windows XP 64 bit Edition:(如果你的WinXP不是简体中文版本,请使用此补丁,安装的时候请大家自己选择适合自己系统的语言!):
http://microsoft.com/downloads/d ... &displaylang=en
Windows 2000:(如果你的WinXP不是简体中文版本,请使用此补丁,安装的时候请大家自己选择适合自己系统的语言!):
http://microsoft.com/downloads/d ... &displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述“预防蠕虫感染”的方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。
3、删除系统windows\system32目录下的msblast.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其下的"windows auto update"="msblast.exe"。
5、重新启动系统。
截至目前为止,一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征,可以清除该蠕虫,请更新您杀毒软件的病毒特征库进行查杀。更多精彩文章及讨论,请光临枫下论坛 rolia.net