590
社区成员
发帖
与我相关
我的任务
分享不看后悔!!!关于“冲击波”病毒的详细技术资料及完整解决方案(一)
以下是我所知的冲击波病毒(W32.Blaster.Worm)的技术资料及解决方案,将分两次分别贴出来。本来在一周前就想写出来的,但因最近工作较忙,一直没有时间上网,所以延误到今。希望这个贴子对感染此病毒的朋友有所帮助,并能够使你养成良好的安全习惯:
W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。
建议你通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
该病毒的别名: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
类型: Worm
感染长度: 6,176 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
====================================
感染数量: 大于 1000
站点数量: 大于 10
地理分布: 高度
威胁遏制: 一般
消除威胁能力: 一般
威胁度量:
广度:高度
损坏程度:中度
分发:高度
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。
====================================
详细技术资料:
如果执行 W32.Blaster.Worm,它会进行以下动作:
建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。
新增下列值:
"windows auto update"="msblast.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当启动 Windows 时,蠕虫都会执行。
计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。
C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。
然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。
注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
====================================
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅我下面所说的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
====================================
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。
尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。
建议你通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
该病毒的别名: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
类型: Worm
感染长度: 6,176 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
====================================
感染数量: 大于 1000
站点数量: 大于 10
地理分布: 高度
威胁遏制: 一般
消除威胁能力: 一般
威胁度量:
广度:高度
损坏程度:中度
分发:高度
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。
====================================
详细技术资料:
如果执行 W32.Blaster.Worm,它会进行以下动作:
建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。
新增下列值:
"windows auto update"="msblast.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当启动 Windows 时,蠕虫都会执行。
计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。
C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。
然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。
注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
====================================
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅我下面所说的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
====================================
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。
尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
...全文
请发表友善的回复…
发表回复
