关于RPC漏洞之蠕虫病毒的详细介绍
2003年8月12日上午,安络科技信息部侦测到一种新的蠕虫代码正在网上活跃。中午12点左右,安络科技应急反应小组接连收到来自广东地区、北京地区的紧急报告,发现一些银行、ISP的OA、生产网络内有不正常流量和主机异常现象。安络应急反应小组下午紧急出动,到晚上18:00左右,已经为多家ISP和银行解决了问题。19:00,经过整理和代码分析,正式发布如下紧急通告。
详细:
//////////////////////////////////////////////////////////////
北京时间2003年08月12日,安络科技侦测到一种新的蠕虫, 该蠕虫针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞.能对Windows 2000/XP/2003三种操作系统发动攻击,危害非常严重。
有关该漏洞的详细信息,请参见:http://www.cnns.net/article/db/3098.htm
此蠕虫大约于8月11日左右最早在美国被发现。名字有三个:LoveSan、Blaster或MSBlaster。据SANS学院称,这一蠕虫病毒的代码中包括下面的内容:“Billy Gates why do you make this possible? Stop making money and fix your software”。
目前该蠕虫已经在全球开始扩散。预计广大中国用户在8月12日到8月13日会受严重影响。此事件也会影响到相关地区的网络速度。
经过在事件现场的详细分析,安络科技发现该蠕虫仅能感染到Microsoft Windows 2000,而对于Microsoft Windows XP/2003并不能感染成功,但会造成系统的不正常运行。
在受蠕虫感染的机器上将会有以下现象:
%systemroot%\system32目录下会增加有msblast.exe文件, 6176字节.
该中标主机会向外发起135扫描连接;
打开进程列表中可发现存在msblast.exe;
在Windows注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加键值:"windows auto update"="msblast.exe",这样用户登录时将会自动运行;
被感染的机器还会出现其它的不正常的现象,不能复制,粘贴文件,不能打开各种对象的属性窗口等。
该蠕虫还会向微软网站发送拒绝服务(DoS)数据包,试图阻止用户下载微软提供的安全补丁。
受感染的整个网络,其正常运行将会被严重影响。
经过分析,判断蠕虫的攻击过程为:
1 已受感染计算机按照一定的规律对网络进行135端口的扫描;
2 如果135连接成功, 已受感染计算机将利用Windows RPC DCOM漏洞攻击程序对目标机器进行攻击;
3 如果攻击成功,目标机器将在4444端口开出SHELL,从攻击机器TFTP下载msblast.exe;
4 在目标机器上运行msblast.exe文件,蠕虫感染到目标机器;
5 .蠕虫运行后会接着扫描其他漏洞计算机并开始下一轮传播。
解决方案:
在网络边界,用防火墙将135 TCP端口和4444 TCP端口封锁;并封锁UDP 69号端口。
在主机上,采用如下解决方案:
(一) 手工解决方法
1 被感染蠕虫的Windows 2000
a. 将MS03-026漏洞的补丁文件复制到本地
b. 将网线拔掉
c. 将进程列表的msblaster.exe进程杀掉
d. 命令行下重新启动rpcss服务:net start rpcss
e. 安装MS03-026的补丁
f. 将注册表 \HKLM\Software\Microsoft\Windows\CurrentVersion\Run 中的 Windows Update等字样的健值删除掉。
g. 重新启动机器。
h. 将网线还原。
2 没有感染蠕虫的windows 2000
a. 将MS03-026漏洞的补丁文件复制到本地
b. 将网线拔掉
c. 安装MS03-026的补丁
d. 重新启动机器。
e. 将网线还原。
3 Windows XP
a. 将XP MS03-026漏洞的补丁文件复制到本地
b. 将网线拔掉
c. 安装XP MS03-026的补丁
d. 重新启动机器。
e. 将网线还原。
////////////////////////////////////////////////
MS03-026补丁下载:
中文版:http://www3.cnns.net:90/windows2000chinese.exe
英文版:http://www3.cnns.net:90/windows2000english.exe
中文Windows XP版:http://www3.cnns.net:90/windowsxpchinese.exe
(二) 自动解决办法(适用于各个版本的Windows 2000)
1. 将网线拔掉
2. 点击运行安络自动补丁程序cnnskillrpc.exe
3. 操作完成以后,重新启动机器
4. 安装ms026补丁
5. 将网线还原,开机上网
安络科技紧急开发的自动补丁程序下载:
http://www3.cnns.net:90/cnnskillrpc.exe
Symantec公司亦于今日早些时候发布了清除该蠕虫的程序:
http://www3.cnns.net:90/fixblast.exe,用户可在CNNS下载本程序。
我昨天也中招了,大家小心!
XP补丁:
[此贴子已经被作者于2003-8-13 10:07:43编辑过] 请问
我盗版的XP不能上补丁。说什么语言版本不一样。如何是好。
我也中标了,真头痛呢。 Training100.com就是惨遭不幸!!! 我也中抬了,老是报告SVCHOST.EXE出错;格完后重装也不行,还是出现SVCHOST.EXE的错误,正在郁闷中……… 以下是引用fal在2003-8-13 10:23:00的发言:
请问
我盗版的XP不能上补丁。说什么语言版本不一样。如何是好。
我也中标了,真头痛呢。
先用安全模式删除,然后安装防火墙,封掉那些端口就是。现在网上应该很多教程了。 我是正版英文XP系统,补丁也装不上,提示语言不同。 装好补丁,应该是没问题的。
重要资料记得在不同电脑上备份,以防万一,呵呵…… AndyLeau
如果什么办法都没有,你可以试试到控制面版,管理工具,服务里面,找到RPC那协议,(描述里面会写,有俩个。有一个启动的。)把那协议的遇问题从新启动计算机改成从新启动服务。
可以暂时解决,不过有后遗症。但至少不会动不动关机了。
我刚中的时候就用这办法,现在是用金山网镖。不过上网的时候要忘记开一样中招。晕
页:
[1]