找回密码
 注册
查看: 2151|回复: 0

[转帖]关于防范近期恶性网络蠕虫的公告

[复制链接]
发表于 2003-9-2 00:38:05 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

x
                        关于防范近期恶性网络蠕虫的公告
                   中国教育和科研计算机网紧急响应组(CCERT)

    近期互联网上多种恶性网络蠕虫病毒泛滥,主要感染Windows NT 、Windows 2000 、Windows XP 、Windows 2003 和SQL Server系统。近期影响严重的蠕虫或病毒主要包括:
1. 8月18日爆发的W32.Nachi蠕虫(中文称“冲击波杀手”);
2. 8月12日爆发的W32.Blaster(中文称“冲击波”);
3. 1月25日爆发的Slammer蠕虫(感染SQL Server)。
    这些蠕虫病毒不仅导致计算机系统异常,严重影响用户的正常工作,同时,蠕虫病毒传播产生的扫描信息占用大量的网络带宽,严重影响网络性能。 我们建议各地校园网或企业网尽快采取以下措施:
1. 迅速通知用户尽快给系统打补丁,并更新病毒特征库;
2. 尽快下载相关的补丁和工具放在本地网站上并予以公布,以便用户下载;
3. 建议在企业网或校园网与ISP互联的边界上实施本文附件5中关于边界路由器或防火墙安全控制建议,阻断蠕虫或病毒的传播,减轻对网络的影响。
有关技术措施参见以下附件:
附件1:CCERT 关于 W32.Nachi.Worm 蠕虫公告
附件2:CCERT关于W32.Blaster.Worm蠕虫的公告
附件3:CCERT 关于 slammer 蠕虫的公告
附件4:企业网或校园网边界路由器安全控制建议
附件5:相关补丁下载

--------------------------------------------------------------------------------
附件一:CCERT 关于 防范W32.Nachi.Worm 蠕虫公告

中国教育和科研计算机网紧急响应组(CCERT)
2003 年8月19日
蠕虫名称
MSBlast.D (趋势科技)
LovSAN.D (F-Secure )
W32/Nachi.Worm (NAI)
W32.Welchia.Worm (Symantec)
CVE参考 : CAN-2003-0109, CAN-2003-0352
 
影响系统
Windows 2000, Windows XP / Windows 2003
 
简单描述
W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(漏洞信息参见http://www.ccert.edu.cn/ advisor ies/all.php?ROWID=48) 和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞(漏洞信息参见http://www.ccert. edu.cn/advisories/all.php?ROWID=28)进行传播。如果该蠕虫发现被感染的机器上有"冲击波"蠕虫,则杀掉"冲击波"蠕虫,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。Nachi蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而严重影响网络性能。
 
这些ICMP数据包的特征如下(其中xxx为隐去的IP地址):
xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
4500 005c 1a8d 0000 7801 85be xxxx xxxx
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa aaaa
 
计算机感染特征
1、被感染机器中存在如下文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
2、注册表中增加如下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
3、增加两项伪装系统服务:
Network Connection Sharing
WINS Client
4、监听TFTP端口(69),以及一个随机端口(常见为707);
5、发送大量载荷为"aa",填充长度92字节的icmp报文,大量icmp报文导致网络不可用。
6、大量对135端口的扫描;
蠕虫的详细信息
在被感染的机器上蠕虫会做以下操作:
1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe (%system%根据系统不同而不同,win2000为c:\winnt\system32,winxp为c:\windows\system32)
2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器
    创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为:维护网络上计算机的最新列 表以及提供这个列表给请求的程序。
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe 文件,如果有就删除。
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。 溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看,通常都是707端口。
7、建立连接后发送"dir dllcache\tftpd.exe"和"dir wins\dllhost.exe"命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷贝到%system%\wins\svhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
9、监测当前的系统日期,如果是2004年,就将自身清除。
网络控制方法
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞下面的协议端口:
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
ICMP echo request(type 8) 蠕虫用于发现活动主机
如果您使用基于网络的入侵检测系统(比如Snort),snort兼容的系统可使用如下检测规则:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;)
 
手动清除方法
如果您的计算机感染了Nachi蠕虫,可以用如下方法清除:
1、停止如下两项服务(开始->程序->管理工具->服务):
WINS Client
Network Connections Sharing
2、检查、并删除文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
3. 进入注册表("开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
4. 给系统打补丁(否则很快被再次感染),
CCERT补丁下载地址: http://www.ccert.edu.cn
微软公司:http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
 
其他参考信息
 
1.请关注CCERT主页,订阅CCERT安全公告的邮件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn
2、NAI : http://vil.nai.com/vil/content/v_100559.htm
3、Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=
/technet/security/bulletin/MS03-026.asp
4、Symantec : http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
 

--------------------------------------------------------------------------------

附件二:CCERNET 关于防范W32.Blaster蠕虫的公告
中国教育和科研计算机网紧急响应组(CCERT)
2003 年8月12日
 
蠕虫名称
W32.Blaster.Worm (symantec)
W32/Lovsan.worm (McAfee)
WORM_MSBLAST.A (Trend Micro)
Win32.Posa.Worm (CA)
Lovsan (F-secure)
CVE参考:CAN-2003-0352
BUGTRAQ ID:8205
 
影响系统
Microsoft Windows NT 4.0 (包括所有SP补丁版本)
Microsoft Windows 2000 (包括所有SP补丁版本)
Microsoft Windows XP (包括所有SP补丁版本)
Microsoft Windows Server 2003
 
特征描述
 
W32.Blaster是一种利用DCOM RPC漏洞(请参考http://www.microsoft.com/technet/security/ bulletin/ MS03-026.asp)进行传播的蠕虫,传播能力很强。蠕虫传播时破坏了系统的核心进程svchost.exe,从而导致系统不稳定,并可能造成系统崩溃。它扫描的端口号是TCP/135,攻击成功后他会利用TCP/4444和UDP/69端口下载并运行它的代码程序Msblast.exe。这个蠕虫还将在将来的某个时间(如8月16日)对windowsupdate.com进行拒绝服务攻击,目的是为了使您不能及时地得到这个漏洞的补丁。
 
蠕虫感染特征:
1、 蠕虫攻击可能导致RPC 服务停止,因此可能引起其他服务(如IIS)不能正常工作;
2、 攻击不成功时,可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,无法进入网站页面链接等等;
3、 成功溢出时,系统表现为如下特征:
系统被重启动;
用netstat 可以看到大量TCP/135端口的扫描;
系统中出现文件: %Windir%\system32\msblast.exe;
注册表中出现键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "windows auto update"="msblast.exe";
 
控制方法
如果您不需要使用下面的端口,可以在防火墙或路由器上暂时阻塞下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程命令控制
UDP Port 69 用于文件下载
TCP Port 135 蠕虫用以下端口发现有漏洞的系统
TCP Port 137
TCP Port 139
如果您使用cisco 路由器,可以用如下访问控制列表来防止蠕虫的扫描和传播(仅作参考):
! 以前的控制规则
! …..
access-list 110 deny tcp any any eq 135
access-list 110 deny tcp any any eq 4444
access-list 110 deny udp any any eq 69
access-list 110 permit ip any any

interface s0
ip access-group 110 in
 
检测和删除
 
如果你的计算机感染了蠕虫,可以用下面办法手工删除:
1. 检查、并删除文件: %Windir%\system32\msblast.exe
2. 打开任务管理器,停止以下进程 msblast.exe .
3. 进入注册表("开始->运行:regedit), 找到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
4. 给系统打补丁(否则很快被再次感染),补丁下载地址参见下文。
5.如果您安装了网络入侵检测系统,请尽快升级检测规则,Symantec公司给出的检测规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 135 \ (msg:"DCE RPC Interface Buffer Overflow Exploit"; \ content:"|00 5C 00 5C|"; \ content:!"|5C|"; within:32; \ flow:to_server,established; \ reference:bugtraq,8205; rev: 1; )
 
补丁下载
微软:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ MS03-026.asp
CCERT: http://www.edu.cn
http://www.ccert.edu.cn
CNCERT: http://www.cert.org.cn/upload
 
蠕虫感染途径
 
1. 蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。
2. 在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。
3. 蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。
4. 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
5. 向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机(UDP/69端口),将msblast.exe传到目标系统上,然后运行它。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至此月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! (比尔·盖茨,你为什么要使这种攻击成为可能?不要再只顾挣钱了,好好修补你发行的软件吧。)
 
参考信息
1、 http://www.securityfocus.com/news/6689
2、 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
3、 http://www.securityfocus.com/columnists/174
4、 http://isc.sans.org/diary.html?date=2003-08-11
5、 http://www.cert.org/advisories/CA-2003-20.html
6、 http://www.cert.org/tech_tips/w32_blaster.html
7、 http://www.cert.org.cn
 

--------------------------------------------------------------------------------

附件三:CCERT 关于 防范W32.slammer.Worm 蠕虫公告
中国教育和科研计算机网紧急响应组(CCERT)
2003 年8月19日
slammer是针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的一
种蠕虫。该蠕利用MS-SQL的一个漏洞进行传播。
(MS-SQL的漏洞信息请参见sql漏洞)由于蠕虫发送大量的udp包,
因此会造成网络Dos攻击。
影响版本:
SQL Server 2000 RTM
SQL Server 2000 SP1
SQL Server 2000 SP2
Microsoft SQL Desktop Engine Version (MSDE) 2000
详细信息:
蠕虫感染一台有漏洞的主机过程如下:
1.将自身封装在一个376字节的udp数据包中发送到网络上任意地址主机的udp 1434端口
2.如果主机的SQL 服务器解析服务(SQL Server Resolution Service)开放并没有安
装相应的补丁,蠕虫将利用漏洞覆盖一部分系统内存,以此获得
SQL 服务进程所拥有的安全权限。
3.调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地
4.在受害主机上建立一个socket,使用一个临时的端口发送封装有蠕虫的udp包到刚才产生
的那些地址中,只要这些地址中存在具有该漏洞的主机均能感染
蠕虫具有以下特征:
1.使用udp协议传播,传播速度快,传播面积广
2.蠕虫感染系统后,只驻留内存不在硬盘上写任何文件
3.由于发送大量的udp包会产生巨大的网络流量,造成Dos攻击

网络检测方法:
symantec提供了如下的网络检测规则
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation";
content:"|68 2E 646C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0;
depth:1;)
本地检测方法:
 
微软提供了专门的检测工具,你可以在我们的网站上下载到相关的工具: 检测工具
使用里面的sqlscan你可以扫描出网络上易受slammer感染的主机来。软件内附有详细的使用说明。

网络控制方法:
 
你可以在边界路由器上添加以下规则:
access-list 110 deny udp any any eq 1434
本地控制方法:
 
为有MS-SQL的机器安装最新的补丁
使用单机防火墙屏蔽udp1434端口

解决方法:
 
请先确定您的MS-SQL安装了最新补丁,如果没有请尽快安装补丁。如果不及时安装补丁,
即便是你有效的清除了该蠕虫也会很快被重新感染。
相关的补丁你可以在我们的网站上下载:chs_sql2ksp3
如果确定你的机器已经被感染了slammer蠕虫,请按以下方法操作:
1.暂时将本地的MS-SQL服务设为禁用,重新启动机器
2.下载相关的补丁到本地并安装
3.重新启用本地的MS-SQL服务
 

--------------------------------------------------------------------------------
附件四: 校园网或企业网边界路由器安全控制建议
 

 
如果您使用CISCO路由器,建议您做如下控制措施;
! 用于控制Nachi蠕虫的扫描
access-list 110 deny icmp any any echo
! 用于控制Blaster蠕虫的传播
access-list 110 deny tcp any any eq 4444
access-list 110 deny udp any any eq 69
!用于控制Blaster蠕虫的扫描和攻击
access-list 110 deny tcp any any eq 135
access-list 110 deny udp any any eq 135
access-list 110 deny tcp any any eq 139
access-list 110 deny udp any any eq 139
access-list 110 deny tcp any any eq 445
access-list 110 deny udp any any eq 445
access-list 110 deny tcp any any eq 593
access-list 110 deny udp any any eq 593
!用于控制 Slammer 蠕虫的传播
access-list 110 deny udp any any eq 1434
access-list 110 permit ip any any
! 防止外来的攻击
interface s0
ip access-group 110 in
ip access-group 110 out
! 防止广播流量进入,防范Smurf类型的攻击
no ip directed-broadcast
 

--------------------------------------------------------------------------------
附件五:相关补丁下载
 
RPC漏洞补丁(针对Nachi和blaster蠕虫):
winnt补丁
win2000补丁 win2000英文补丁
winxp补丁
win2003补丁
IIS5.0漏洞补丁(针对Nachi蠕虫)
    IIS5.0补丁
    注:IIS的补丁已经包含在win2k sp4中。
MS-SQL漏洞补丁(针对slammer蠕虫):
    MS-SQL补丁
    注:MS-SQL的补丁已经包含在win2k sp4中
win2000 sp4 下载
补丁请到下列网址下载:
http://www.ccert.edu.cn

 

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表