首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 天气 答疑 导航
新浪首页 > 科技时代 > 互联网-国内 > “冲击波”病毒在国内迅速泛滥专题 > 正文

绿盟发布MSBLAST蠕虫紧急公告(8.12)

http://www.sina.com.cn 2003年08月12日 13:08 新浪科技

  声明:本安全公告由NSFOCUS安全小组(security@nsfocus.com)根据病毒的严重程度、影响范围等因素综合分析得出的结果,提供给新浪科技独家发布,供网友参考。

  Nsfocus安全小组(security@nsfocus.com)

  www.nsfocus.com

 

  MSBLAST蠕虫紧急公告!

  发布日期:2003-08-12

  CVE CAN ID:CAN-2003-0352

  BUGTRAQ ID:8205

  受影响的软件及系统:

  ====================

  Microsoft Windows 2000

  Microsoft Windows XP

  Microsoft Windows 2003

  综述:

  ======

  绿盟科技安全小组的HoneyPot监测到一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。

  更新记录:

  2003-08-12 11:00文档创建

  分析:

  ======

  北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147)的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。

  该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。

  蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。

  然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:

  "windows auto update"="msblast.exe"

  以保证每次用户登录的时候蠕虫都会自动运行。

  蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。

  蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。

  一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。

  蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻击。

  蠕虫代码中还包含以下文本数据:

  I just want to say LOVE YOU SAN!!

  billy gates why do you make this possible ? Stop making money and fix your software!!

  解决方法:

  ==========

  *检测是否被蠕虫感染:

  1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入:

  C:\>dir %systemroot%\system32\msblast.exe

  如果被感染,那么您可以看到类似的显示结果:

  C:\>dir %systemroot%\system32\msblast.exe

  驱动器C中的卷是sys

  卷的序列号是A401-04A9

  C:\WINNT\system32的目录

  2003-08-12 03:03 6,176 msblast.exe

  1个文件6,176字节

  0个目录2,701,848,576可用字节

  2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入:

  C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  C:\>type tmp.txt

  如果被感染,那么您可以看到类似的显示结果:

  C:\>type tmp.txt

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  "windows auto update"="msblast.exe"

  3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的系统上运行。

  *预防蠕虫感染:

  安装MS03-026(www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:

  Windows NT 4.0 Server:

  http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

  Windows NT 4.0 Terminal Server Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

  Windows 2000:

  http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

  Windows XP 32 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

  Windows XP 64 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

  Windows Server 2003 32 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

  Windows Server 2003 64 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

  安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。

  *清除蠕虫

  如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:

  1、按照上述“预防蠕虫感染”的方法安装补丁。

  2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。

  3、删除系统目录下的msblast.exe。

  4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其下的"windows auto update"="msblast.exe"。

  5、重新启动系统。

  截至目前为止,一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征,可以清除该蠕虫,请更新您杀毒软件的病毒特征库进行查杀。

  绿盟科技产品的冰之眼IDS(www.nsfocus.com/homepage/products/nids.htm)早在该漏洞发布时(2003年7月)就已经可以检测此种攻击;RSAS(www.nsfocus.com/homepage/products/rsas.htm)也早就可以检测到网络内受该漏洞影响的主机;对于大量的TCP数据流导致的拒绝服务,黑洞(www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解决方案之一。

  附加信息:

  ==========

  www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147

  http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

  声明

  ==========

  本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

  关于绿盟

  中联绿盟信息技术(北京)有限公司成立于2000年4月,是国内专业从事网络安全服务的高科技企业,致力于网络安全技术研究、网络安全产品开发,提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案,并协助建立严密的网络安全制度,提高国内的网络安全水平,为客户提供强有力的安全保障。(更多内容请参考www.nsfocus.com)


评论】【IT业界论坛】【推荐】【 】【打印】【关闭

     诺基亚,三星手机,笔记本全部499起限量甩卖中

  绝对大奖!订非常笑话短信,送数码摄像机!
  注册新浪9M全免费邮箱
  新概念英语 口语 出国考试 考研暑期限时优惠
  无数人梦寐以求的境界,亲密接触,激烈搏杀,包你爽上“天堂”

新 闻 查 询
关键词一
关键词二


search Esprit 皇马 小灵通
 

新浪精彩短信
两性学堂
学会和你的身体对话,了解自己的身体,探索自己……
非常笑话
妻子:我患病卧床你却到外面跳舞!丈夫辩解道:…
图片
铃声
·[王 菲] 笑忘书
·[刘德华] 笨小孩
·[Beyond] 真的爱你
铃声搜索




新浪商城推荐
佳能数码相机
  • A60A70新品上市
  • s45 送128兆
  • igo5美味购物体验
  • 特价原装手机配件
  • 十大禁书1.7折
  • 上网体验潮流科技
  • 全新手机百元起
  • 彩信手机百元起拍
     (以上推荐一周有效)
  • 更多精品特卖>>

     发表评论:  匿名发表  笔名:   密码:
    每日2条,28元/月
    原色地带--普通图片铃声,5元包月下载,每条仅0.1元 
    炫彩地带--彩图和弦铃声,10元包月下载,每条仅0.1元
    爆笑无比精彩无限,成人世界的快乐享受
    好消息:8月11日-20日订阅非常笑话的用户有机会获得数码相机或摄像机
    每日2条,30元/月



    科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    Copyright © 1996 - 2003 SINA Inc. All Rights Reserved

    版权所有 新浪网