您当前的位置: 首页 > CERNET > CERNET动态 > 学术动态 |
CCERT关于Dvldr32 蠕虫防范的紧急公告
|
||||
中国教育和科研计算机网紧急响应组(CCERT)
|
||||
2003年3月7日以来,一种破坏力很强的蠕虫(暂且以攻击程序的名字命名为Dvldr32 蠕虫)在网络上传播,控制了大量口令设置不安全的Windows系统,对网络造成了很大破坏。 目前主要的网络运行商已经在网络上对其传播途径进行了控制,但是,被感染的系统、可能被感染的系统仍然大量存在,而且类似的蠕虫攻击有可能再度发生,有必要引起进一步的关注。
1. 易受感染的系统 Microsoft Windows 2000, Windows NT, Windows ME, Windows XP. 2.蠕虫利用系统漏洞 弱口令,比较典型的是管理员(administrator)口令为空 3.主要危害 计算机感染Dvldr32蠕虫后,定期的随机选择两个C类地址进行扫描(TCP 445端口),如果目标机器上存在弱口令账号(如:administrator账号口令为空),蠕虫便会利用该账号将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门(TCP 5800,TCP 5900),并通过互联网聊天协议(IRC,TCP 目标端口6667)与境外的服务器进行通信。 该蠕虫的扫描和传播可能造成网络严重拥塞,主要表现为大量 TCP 445端口的扫描、TCP 6667端口的通信。另外,网络流量监测结果表明IP协议字段为 255( IP 头标的第9个字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。 4. 计算机用户的检测手段 如果出现以下特征之一,可以认为系统已经被感染: (1)如果你的管理员口令为空或者容易猜测的口令,那么你的计算机系统可能已经被感染了,或者很容易受到感染; (2)登录计算机系统,执行netstat -an命令,如果出现大量对外6667端口的TCP连接,或者正在监听TCP 5800和5900端口,那么你的系统可能被感染了,如下所示: C:\>netstat.exe -n (3)如果系统目录下出现了以下文件,那么你的系统可能被感染了: C:\> dir /O:D winnt\system32 C:\>dir winnt\fonts /O:D (4)检查注册表, 如果增加了如下键值,则你的系统已经被感染了: 5. 计算机用户的控制手段 (1)为 administrator 设定安全的口令,检查其他所有用户口令的安全性; (2)终止名为dvldr32.exe 和rundll32.exe 的进程; (3)删除 以下文件(%windir%是windows nt/2000的根目录,比如c:\winnt): (4)清理注册表,删除3(4)中所提到的注册表中的键值 (5)重新启动计算机
为防止类似事件发生,我们向Windows 用户或系统管理员建议以下最基本的安全措施: (1)为操作系统安装最新的补丁; (2)为所有用户选择安全的、不用易猜测的口令; (3)安装防病毒软件,并及时更新病毒定义码(最好每天一次)。 6. 网络管理员的检测手段 如果你管理的网络出现了以下现象,那么网络中可能有计算机系统受感染了 (1)网络性能显著下降; (2)用流量分析工具(比如Unix平台的tcpdump 、Windows 平台的Sniffer pro), 可以看到从网络内部发起的大量目标端口为445、6667的TCP 数据包; (3)用端口扫描软件(比如Linux 平台的nmap),扫描你所管理的网络,如果有的 计算机同时打开了TCP 445 、5800、5900端口,则该计算机系统可能被感染了。 7. 网络管理员的控制手段 在边界路由器或防火墙上配置访问控制规则,可以控制蠕虫传播的途径,起到保护内部网络、控制被感染系统扩散的目的。 例如,可以在cisco 路由器上的配置如下访问控制表: 8.蠕虫传播机理分析 中国教育和科研计算机网紧急响应组(CCERT): http://www.ccert.edu.cn 哈工大安天CERT 小组: http://www.antiy.com/home.htm 9. CCERT 技术支持 电话:010-62784301 传真:010-62785933 EMAIL: report@ccert.edu.cn 地址:清华大学中央主楼210 室 邮编 100084 |
||||
|
||||
|
相关文章: |
|
|||
|
|||
Copyright(c)
1994-2020 CERNIC,CERNET
京ICP备15006448号-16 京网文[2017]10376-1180号
关于假冒中国教育网的声明 | 版权所有:中国教育和科研计算机网网络中心 |
|||