|
 | 作者: admin_20cn [admin_20cn]
 论坛用户 |
登录 |
| 本帖由 [TomyChen] 从 << 黑客进阶>> 转移而来绿盟科技紧急公告(Alert2003-zh-02) Nsfocus安全小组(security@nsfocus.com) http://www.nsfocus.com MSBLAST蠕虫紧急公告! 发布日期:2003-08-12 CVE CAN ID:CAN-2003-0352 BUGTRAQ ID:8205 受影响的软件及系统: ==================== Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows 2003 综述: ====== 绿盟科技安全小组的HoneyPot监测到一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。 更新记录: 2003-08-12 11:00 文档创建 分析: ====== 北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147)的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。 该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。 蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。 然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值: "windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。 蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。 一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。 蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。 蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻击。 蠕虫代码中还包含以下文本数据: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 解决方法: ========== * 检测是否被蠕虫感染: 1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入: C:\>dir %systemroot%\system32\msblast.exe 如果被感染,那么您可以看到类似的显示结果: C:\>dir %systemroot%\system32\msblast.exe 驱动器 C 中的卷是 sys 卷的序列号是 A401-04A9 C:\WINNT\system32 的目录 2003-08-12 03:03 6,176 msblast.exe 1 个文件 6,176 字节 0 个目录 2,701,848,576 可用字节 2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入: C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\>type tmp.txt 如果被感染,那么您可以看到类似的显示结果: C:\>type tmp.txt Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "windows auto update"="msblast.exe" 3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的系统上运行。 * 预防蠕虫感染: 安装MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址: Windows NT 4.0 Server: http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en Windows NT 4.0 Terminal Server Edition : http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en Windows 2000: http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en Windows XP 32 bit Edition: http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en Windows XP 64 bit Edition: http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en Windows Server 2003 32 bit Edition: http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en Windows Server 2003 64 bit Edition: http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en 安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。 * 清除蠕虫 如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫: 1、按照上述“预防蠕虫感染”的方法安装补丁。 2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。 3、删除系统目录下的msblast.exe。 4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其下的"windows auto update"="msblast.exe"。 5、重新启动系统。 截至目前为止,一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征,可以清除该蠕虫,请更新您杀毒软件的病毒特征库进行查杀。 绿盟科技产品的冰之眼IDS(http://www.nsfocus.com/homepage/products/nids.htm)早在该漏洞发布时(2003年7月)就已经可以检测此种攻击;RSAS(http://www.nsfocus.com/homepage/products/rsas.htm)也早就可以检测到网络内受该漏洞影响的主机;对于大量的TCP数据流导致的拒绝服务,黑洞(http://www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解决方案之一。 附加信息: ========== http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147 http://www.microsoft.com/technet/security/bulletin/MS03-026.asp 声 明 ========== 本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。 关 于 我 们 =========== 中联绿盟信息技术(北京)有限公司成立于2000年4月,是国内专业从事网络安全服务的高科技企业,致力于网络安全技术研究、网络安全产品开发,提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案,并协助建立严密的网络安全制度,提高国内的网络安全水平,为客户提供强有力的安全保障。 中联绿盟信息技术(北京)有限公司成立后,其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪,对重大安全问题更成立专项研究小组进行技术攻关,取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网络安全评估系统、网络/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产品的技术实力和经验,已经推出了具有国际领先水平的安全产品系列。 中联绿盟信息技术(北京)有限公司定位于网络系统安全集成商,提供全面的网络安全整体解决方案、先进的网络安全技术服务和优秀的网络安全产品。 中联绿盟信息技术(北京)有限公司联系方式: 北京总部: 地址:北京市海淀区北洼路4号益泰大厦5层 邮编:100089 电话:010-68438880 传真:010-68437328 email:webadmin@nsfocus.com 上海分公司: 地址:上海市南京西路758号博爱大厦24层A座 邮编:200041 电话:021-62179591/92 传真:021-62176862 广州分公司: 地址:广州市人民中路555号美国银行中心1702 邮编:510180 电话:020-81301251,81301252 传真:020-81303835 (c)版权所有 1999-2003,中联绿盟信息技术(北京)有限公司 |
| 地主 发表时间: 08/12 14:29 |
 | 回复: ping123 [ping123]  论坛用户 |
登录 |
|
怎么打不开下载补丁网页拉 晕 |
| B1层 发表时间: 08/17 17:56 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 绿盟科技紧急公告(Alert2003-zh-02)(转)