首页 新闻 体育 娱乐 游戏 邮箱 搜索 短信 聊天 天气 答疑 导航
新浪首页 > 科技时代 > 互联网-国际 > 正文

绿盟发布利用DCOM RPC溢出蠕虫公告(8.19)

http://www.sina.com.cn 2003年08月19日 09:36 新浪科技

  声明:本安全公告由NSFOCUS安全小组(security@nsfocus.com)根据病毒的严重程度、影响范围等因素综合分析得出的结果,提供给新浪科技独家发布,供网友参考。

  发布日期:2003-08-19

  CVE CAN ID:CAN-2003-0352BUGTRAQ ID:8205

  受影响的软件及系统:

  ====================

  Microsoft Windows 2000

  Microsoft Windows XP

  Microsoft Windows 2003

  综述:

  ======

  绿盟科技安全小组监测到一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞的蠕虫正在活跃,该蠕虫会发送大量ICMP数据包,阻塞正常网络通信,危害很大。

  更新记录:

  2003-08-18 23:00文档创建

  分析:

  ======

  北京时间2003年08月18日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147)和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=4554)的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。

  该蠕虫大小为10240字节。用VC 6.0编译,upx压缩。

  蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置为:“Network Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将自身拷贝到%systemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示名称设为“WINS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用程序也可以看到。

  然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。

  检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。

  蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的小写字母“a”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。

  一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。

  该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。

  蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。

  有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。

  蠕虫代码中还包含以下数据:

  =========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins

  解决方法:

  ==========

  我们建议您这样做:

  *检测是否被蠕虫感染:

  检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.exe和svchost.exe文件,如果有,则说明您已经被感染。

  *暂时禁用DCOM

  1、先断开网络连接,然后重新启动系统。

  2、保持网络连接是断开的。点击左下角的“开始”菜单,选择“运行”,在其中键入“dcomcnfg”,点击“确定”,这样就打开了DCOM配置工具。(可能会出现几个弹出窗口的提示,可以一律点击确定。)

  3、在“默认属性”页,取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。

  4、这样我们就禁用了DCOM,您的系统不再受蠕虫的影响,您可以连上网络继续下面的安装补丁等操作,但是在安装完补丁之后,最好再启用DCOM,因为我们不知道您系统上是否有某些应用依赖于DCOM。

  *安装补丁:

  安装Windows 2000 SP4(www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp)

  和MS03-026(www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:

  Windows NT 4.0 Server:

  http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

  Windows NT 4.0 Terminal Server Edition:

  http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

  Windows 2000:

  http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

  Windows XP 32 bit Edition:

  http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

  Windows XP 64 bit Edition:

  http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

  Windows Server 2003 32 bit Edition:

  http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

  Windows Server 2003 64 bit Edition:

  http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

  安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。

  *清除蠕虫

  如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:

  1、按照上述方法安装补丁。

  2、点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:

  net stop RpcPatch

  net stop RpcTftpd

  3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。

  4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中删除键:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd

  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch

  5、重新启动系统。

  也可利用蠕虫检测系统时间,自动清除自身的特性,将系统时间改到2004年,然后重新启动系统,再将时间改回来。

  *针对蠕虫发送大量ICMP导致的网络阻塞解决建议

  可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的ICMP报文的源IP都是真实的,可通过在Sniffer上设定过滤规则,捕获大小为92字节的ICMP ECHO数据包,统计源IP,即可了解网络中那些系统被蠕虫感染,并采取相应措施。

  绿盟科技产品的冰之眼IDS(www.nsfocus.com/homepage/products/nids.htm)早在该漏洞发布时(2003年7月)就已经可以检测此种攻击;RSAS(www.nsfocus.com/homepage/products/rsas.htm)也早就可以检测到网络内受该漏洞影响的主机;对于大量的ICMP数据流导致的拒绝服务,黑洞(www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解决方案之一。

  附加信息:

  ==========

  www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147

  www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=4554

  www.microsoft.com/technet/security/bulletin/MS03-026.asp

  www.microsoft.com/technet/security/bulletin/MS03-007.asp

  声明

  ==========

  本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

  关于绿盟

  中联绿盟信息技术(北京)有限公司成立于2000年4月,是国内专业从事网络安全服务的高科技企业,致力于网络安全技术研究、网络安全产品开发,提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案,并协助建立严密的网络安全制度,提高国内的网络安全水平,为客户提供强有力的安全保障。(更多内容请参考www.nsfocus.com)


评论】【IT业界论坛】【推荐】【 】【打印】【关闭

     加快业务步伐,参加2003 IBM软件年会!
诺基亚,三星手机,笔记本全部499起限量甩卖中

  绝对大奖!订非常笑话短信,送数码摄像机!
  注册新浪9M全免费邮箱
  新概念英语 口语 出国考试 考研暑期限时优惠
  无数人梦寐以求的境界,亲密接触,激烈搏杀,包你爽上“天堂”

新 闻 查 询
关键词一
关键词二


search Esprit 皇马 小灵通
 

新浪精彩短信
两性学堂
性爱不仅是能力,更是心灵的释放和情感上的温存……
非常笑话
妻子:我患病卧床你却到外面跳舞!丈夫辩解道:…
图片
铃声
·[那 英] 一笑而过
·[孙 楠] 你快回来
·[陈 琳] 爱就爱了
铃声搜索



企 业 服 务


招商引资频道全新改版
新浪企业邮箱值得信赖
肺癌治疗获得重大突破
如何收到很多国外订单


分 类 信 息
:北交大MBA直通车
   新浪分类全新改版
   夏季旅游-心的承诺
京车消费,此处为家!
 京腔京韵京商京息
分类信息刊登热线>>

 发表评论:  匿名发表  笔名:   密码:
每日2条,28元/月
原色地带--普通图片铃声,5元包月下载,每条仅0.1元 
炫彩地带--彩图和弦铃声,10元包月下载,每条仅0.1元
爆笑无比精彩无限,成人世界的快乐享受
好消息:8月11日-20日订阅非常笑话的用户有机会获得数码相机或摄像机
每日2条,30元/月



科技时代意见反馈留言板 电话:010-82628888-5488   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2003 SINA Inc. All Rights Reserved

版权所有 新浪网