ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 5444|回复: 0
打印 上一主题 下一主题

MSBLAST蠕虫紧急公告!

[复制链接]
跳转到指定楼层
顶楼
发表于 2003-8-15 13:55:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
MSBLAST蠕虫紧急公告!<br>
<br>
发布日期:2003-08-12<br>
<br>
CVE CAN ID:CAN-2003-0352<br>
BUGTRAQ ID:8205<br>
<br>
受影响的软件及系统:<br>
====================<br>
Microsoft Windows 2000<br>
Microsoft Windows XP<br>
Microsoft Windows 2003<br>
<br>
综述:<br>
======<br>
绿盟科技安全小组的HoneyPot监测到一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。<br>
<br>
更新记录:<br>
<br>
2003-08-12 11:00 文档创建<br>
<br>
分析:<br>
======<br>
北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(<a target=_blank href=http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147>http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147</a>)的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。<br>
<br>
该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。<br>
<br>
蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。<br>
<br>
然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:<br>
<br>
"windows auto update"="msblast.exe"<br>
<br>
以保证每次用户登录的时候蠕虫都会自动运行。<br>
<br>
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。<br>
<br>
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。<br>
<br>
一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。<br>
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。<br>
<br>
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻击。<br>
<br>
蠕虫代码中还包含以下文本数据:<br>
<br>
I just want to say LOVE YOU SAN!!<br>
billy gates why do you make this possible ? Stop making money and fix your software!!<br>
<br>
解决方法:<br>
==========<br>
* 检测是否被蠕虫感染:<br>
<br>1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入:<br>C:\>dir %systemroot%\system32\msblast.exe<br>如果被感染,那么您可以看到类似的显示结果:<br>C:\>dir %systemroot%\system32\msblast.exe<br>驱动器 C 中的卷是 sys<br>卷的序列号是 A401-04A9<br>
<br>C:\WINNT\system32 的目录<br>
<br>2003-08-12 03:03 6,176 msblast.exe<br>1 个文件 6,176 字节<br>0 个目录 2,701,848,576 可用字节<br>
<br>2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入:<br>C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run<br>C:\>type tmp.txt<br>如果被感染,那么您可以看到类似的显示结果:<br>C:\>type tmp.txt<br>Windows Registry Editor Version 5.00<br>
<br>[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br>"windows auto update"="msblast.exe"<br>
<br>3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的系统上运行。<br>
<br>
<br>
* 预防蠕虫感染:<br>
<br>安装MS03-026(<a target=_blank href=http://www.microsoft.com/technet/security/bulletin/MS03-026.asp>http://www.microsoft.com/technet/security/bulletin/MS03-026.asp</a>)的安全更新。下载地址:<br><br>Windows NT 4.0 Server:<br>
<br><a target=_blank href=http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en>http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en</a><br>
<br>Windows NT 4.0 Terminal Server Edition :<br>
<br><a target=_blank href=http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en>http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en</a><br>
<br>Windows 2000:<br>
<br><a target=_blank href=http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en>http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en</a><br>
<br>Windows XP 32 bit Edition:<br>
<br><a target=_blank href=http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en>http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en</a><br>
<br>Windows XP 64 bit Edition:<br>
<br><a target=_blank href=http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en>http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en</a><br>
<br>Windows Server 2003 32 bit Edition:<br>
<br><a target=_blank href=http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en>http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en</a><br>
<br>Windows Server 2003 64 bit Edition:<br>
<br><a target=_blank href=http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en>http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en</a><br>
<br>安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。<br>
<br>
* 清除蠕虫<br>
<br>如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:<br>
<br>1、按照上述“预防蠕虫感染”的方法安装补丁。<br>2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。<br>3、删除系统目录下的msblast.exe。<br>4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其下的"windows auto update"="msblast.exe"。<br>5、重新启动系统。<br>
<br>截至目前为止,一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征,可以清除该蠕虫,请更新您杀毒软件的病毒特征库进行查杀。<br>
<br>
绿盟科技产品的冰之眼IDS(<a target=_blank href=http://www.nsfocus.com/homepage/products/nids.htm>http://www.nsfocus.com/homepage/products/nids.htm</a>)早在该漏洞发布时(2003年7月)就已经可以检测此种攻击;RSAS(<a target=_blank href=http://www.nsfocus.com/homepage/products/rsas.htm>http://www.nsfocus.com/homepage/products/rsas.htm</a>)也早就可以检测到网络内受该漏洞影响的主机;对于大量的TCP数据流导致的拒绝服务,黑洞(<a target=_blank href=http://www.nsfocus.com/homepage/products/collapsar.htm>http://www.nsfocus.com/homepage/products/collapsar.htm</a>)是目前最佳解决方案之一。<br>
<br>
附加信息:<br>
==========<br>
<a target=_blank href=http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147>http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147</a><br>
<a target=_blank href=http://www.microsoft.com/technet/security/bulletin/MS03-026.asp>http://www.microsoft.com/technet/security/bulletin/MS03-026.asp</a><br>
<br>
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-11-20 09:25

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表