ca888,www.ca888com,亚洲城ca888

.关于W32.Blaster蠕虫的公告

发布时间:2012-12-25 15:44:59 | 编辑:stu1

 

2010-11-06 kaida 点击:[ 3]


本文由 kaida 于2003 8月 22 at 8:24pm 发表,已被阅读 21873 次
关于W32.Blaster蠕虫的公告
上海交通大学网络信息中心 (2003.08.12)
蠕虫名称:
W32.Blaster.Worm (Symantec)
W32/Lovsan.worm (McAfee)
WORM_MSBLAST.A (Trend Micro)
Win32.Posa.Worm (CA)
Lovsan (F-secure)
冲击波 (中文名称)
CVE参考:CAN-2003-0352
 
影响操作系统:
Windows NT 4.0 / Windows 2000 / Windows XP / Windows 2003 Server
 
特征描述:
W32.Blaster是一种利用Windows DCOM RPC漏洞进行传播的蠕虫,传播能力很强。蠕虫传播时破坏了系统的核心进程svchost.exe,从而导致系统不稳定,并可能造成系统崩溃。它扫描的端口号是TCP/135,攻击成功后他会利用TCP/4444UDP/69端口下载并运行它的代码程序Msblast.exe。这个蠕虫还将在某个时间(如816日)对windowsupdate.com进行拒绝服务攻击,目的是为了使您不能及时地得到这个漏洞的补丁。
 
蠕虫感染特征:
蠕虫攻击可能导致RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作,频繁重新启动;攻击不成功时,可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,无法进入网站页面链接等等;
成功溢出时,系统表现为如下特征:
系统被重启动;
netstat 可以看到大量TCP/135端口的扫描;
系统中出现文件: %Windir%\system32\msblast.exe
注册表中出现键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "windows auto update"="msblast.exe"
 
控制方法:
如果您不需要使用下面的端口,可以在防火墙或路由器上暂时阻塞下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程命令控制
UDP Port 69 用于文件下载
蠕虫用以下端口发现有漏洞的系统
TCP Port 135
TCP Port 137
TCP Port 139
 
检测和删除:
如果你的计算机感染了蠕虫,可以用下面办法手工删除:
1. 打开任务管理器,停止以下进程 msblast.exe .
2. 检查、并删除文件: %Windir%\system32\msblast.exe
3. 进入注册表(“开始->运行:regedit)找到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
4. 给系统打RPC漏洞补丁(否则很快被再次感染)
补丁下载地址: http://cert.sjtu.edu.cn/patch.asp
 
 
附:蠕虫感染途径:
蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。
在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中添加以下键值:windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机(UDP/69端口),将msblast.exe传到目标系统上,然后运行它。
 
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至此月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
(比尔?盖茨,你为什么要使这种攻击成为可能?不要再只顾挣钱了,好好修补你发行的软件吧。)
 
kaida37855.8547337963
上一条:请关注:W32.Welchia.Worm病毒 下一条:关于W32.Welchia 蠕虫的公告
关闭

XML 地图 | Sitemap 地图