蠕虫名称
W32.Blaster.Worm (symantec)
W32/Lovsan.worm (McAfee)
WORM_MSBLAST.A (Trend Micro)
Win32.Posa.Worm (CA)
Lovsan (F-secure)
CVE参考:CAN-2003-0352
BUGTRAQ ID:8205
影响系统
Microsoft Windows NT 4.0 (包括所有SP补丁版本)
Microsoft Windows 2000 (包括所有SP补丁版本)
Microsoft Windows XP (包括所有SP补丁版本)
Microsoft Windows Server 2003
特征描述
W32.Blaster是一种利用DCOM RPC漏洞(请参考http://www.microsoft.com/technet/security/ bulletin/ MS03-026.asp)进行传播的蠕虫,传播能力很强。蠕虫传播时破坏了系统的核心进程svchost.exe,从而导致系统不稳定,并可能造成系统崩溃。它扫描的端口号是TCP/135,攻击成功后它会利用TCP/4444和UDP/69端口下载并运行它的代码程序Msblast.exe。
蠕虫感染特征:
1、 蠕虫攻击可能导致RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作;
2、 攻击不成功时,可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,无法进入网站页面链接等等;
3、 成功溢出时,系统表现为如下特征:
* 系统被重启动;
* 用netstat 可以看到大量TCP/135端口的扫描;
* 系统中出现文件: %Windir%\system32\msblast.exe;
* 注册表中出现键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "windows auto update"="msblast.exe";
控制方法
如果您不需要使用下面的端口,可以在防火墙或路由器上暂时阻塞下面的端口:
* TCP 4444 蠕虫开设的后门端口,用于远程命令控制
* UDP Port 69 用于文件下载
* TCP Port 135 蠕虫用以下端口发现有漏洞的系统
* TCP Port 137
* TCP Port 139
如果您使用cisco 路由器,可以用如下访问控制列表来防止蠕虫的扫描和传播(仅作参考):
! 以前的控制规则
! …..
access-list 110 deny tcp any any eq 135
access-list 110 deny tcp any any eq 4444
access-list 110 deny udp any any eq 69
access-list 110 permit ip any any
interface s0
ip access-group 110 in
检测和删除
如果你的计算机感染了蠕虫,可以用下面办法手工删除:
1. 检查、并删除文件: %Windir%\system32\msblast.exe
2. 打开任务管理器,停止以下进程 msblast.exe .
3. 进入注册表(“开始->运行:regedit), 找到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
4. 给系统打补丁(否则很快被再次感染),补丁下载地址参见下文。
5.如果您安装了网络入侵检测系统,请尽快升级检测规则,Symantec公司给出的检测规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 135 \ (msg:"DCE RPC Interface Buffer Overflow Exploit"; \ content:"|00 5C 00 5C|"; \ content:!"|5C|"; within:32; \ flow:to_server,established; \ reference:bugtraq,8205; rev: 1; )
补丁下载
微软:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ MS03-026.asp
CCERT: http://www.edu.cn Windows 2000补丁 Windows XP 补丁
http://www.ccert.edu.cn
CNCERT: http://www.cert.org.cn/upload
蠕虫感染途径
1. 蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。
2. 在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。
3. 蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。
4. 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
5. 向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机(UDP/69端口),将msblast.exe传到目标系统上,然后运行它。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至此月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! (比尔·盖茨,你为什么要使这种攻击成为可能?不要再只顾挣钱了,好好修补你发行的软件吧。)
参考信息
1、 http://www.securityfocus.com/news/6689
2、 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
3、 http://www.securityfocus.com/columnists/174
4、 http://isc.sans.org/diary.html?date=2003-08-11
5、 http://www.cert.org/advisories/CA-2003-20.html
6、 http://www.cert.org/tech_tips/w32_blaster.html
7、 http://www.cert.org.cn |
