W32.Blaster.Worm (http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.blaster.worm.html)
W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 更多有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。
建议用户通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
更多关于此漏洞的信息,以及哪个赛门铁克产品能纾解此漏洞造成的风险,请单击这里。
注意: 这个威胁可被以下病毒定义文件侦测:
定义版本:50811s
顺序编号:24254
扩展版本:8/11/2003, rev. 19
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。
W32.Blaster.Worm Webcast
下列 Webcast 已经公布,其中讨论了缓解和补救策略,并提供了 DoS 攻击的详细描述:
http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63
也称为: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
类型: Worm
感染长度: 6,176 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
CVE 参考: CAN-2003-0352
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发
端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。
如果执行 W32.Blaster.Worm,它会进行以下动作:
建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。
新增下列值:
"windows auto update"="msblast.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫都会执行。
计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。
C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。
然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。
注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅下面相应的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
缓解 DoS 有效载荷
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。但尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
Symantec Client Security
2003 年 8 月 15 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Blaster.Worm 活动。
Symantec Gateway Security
2003 年 8 月 12 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 的应用程序完全检查防火墙技术可以有效防御这个 Microsoft 安全漏洞,在默认情况下禁止所有上述端口。为获得最高的安全性,第三代应用程序完全检查技术有效禁止了利用 HTTP 信道的 DCOM 通讯通道(tunneling of DCOM traffic over HTTP channels),提供了其它最常见的网络过滤防火墙尚未提供的额外一层防护。
Symantec Host IDS
2003 年 8 月 12 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Intruder Alert
2003 年 8 月 12 日,Symantec 发布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。
Symantec Enterprise Firewall
Symantec 完整的应用程序检查防火墙技术可抵御 W32.Blaster.worm,默认情况下会禁止上面列出的所有 TCP 端口。
Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 5 发布了特别针对 W32.Blaster.Worm 的签名以侦测 W32.Blaster.Worm 的更多特征。
Symantec ManHunt 协议异常检测技术可以检测到与 DoS SYN 泛滥攻击相关联的活动。安全响应中心已经为 ManHunt 3.0 创建了自定义的特征,并发布在 Security Update 6 中,用于将此攻击专门检测为 Blaster DDoS 请求。
Enterprise Security Manager
Symantec 安全响应中心于 2003 年 7 月 17 日发布了针对此漏洞的响应策略。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。