找回密码
 注册
查看: 3786|回复: 5

比冲击波更厉害 新病毒将再袭Windows

[复制链接]
发表于 2003-9-13 11:56:26 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

x
    冲击波病毒上个月在全球引发的惨重灾情,最近可能重演。安全专家警告说,国际网际网络可能遭到新病毒攻击,类似上个月爆发的冲击波病毒攻击。美国国土安全部的电脑安全部门10日晚间发布警告说:由于Windows系统出现新弱点,很可能导致网际网络遭受新病毒的侵袭。
微软稍早宣布的重大安全漏洞,类似上个月发布、后来引发冲击波病毒攻击的严重缺陷,那次漏洞使目前使用中的大部分Windows版本都受到影响。
微软警告说,黑客可能利用窗口系统的新安全漏洞,轻易取得使用Windows系统的电脑的掌控权。他们敦促计算机用户安装最新的补丁程序以修补此漏洞。
美国国土安全部说,由于大部分电脑都使用微软Windows软件,担心可能会出现类似冲击波的病毒,散布快速攻击。
发表于 2003-9-16 17:56:30 | 显示全部楼层

比冲击波更厉害 新病毒将再袭Windows

我两天内重装了三次系统,这个病毒好厉害啊!
发表于 2003-9-16 19:03:59 | 显示全部楼层

比冲击波更厉害 新病毒将再袭Windows

请到
http://www.ccert.edu.cn
下载补丁。
发表于 2003-9-17 11:32:47 | 显示全部楼层

比冲击波更厉害 新病毒将再袭Windows

CCERT 关于Windows RPC DCOM接口堆缓冲区溢出漏洞的安全公告   
  
                                 发布日期:2003-9-11   
    微软的Windows操作系统的RPC接口又发现存在多个远程安全
漏,入侵者可以使用这些漏洞取得本地系统权限。该漏洞的危害
程度与上月的RPC漏洞情况相同。(注意:这个漏洞跟8月份出现
的冲击波(MSBlaster)和冲击波杀手(Nachi)所用的漏洞不同,补
丁kB823980对该漏洞无效)
漏洞的详情参见
    http://www.ccert.edu.cn/advisories/all.php?ROWID=52
影响系统:
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server? 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

漏洞描述:
    Remote Procedure Call (RPC)是Windows 操作系统使用的
一种远程过程调用协议,RPC提供进程间交互通信机制,允许在
某台计算机上运行程序的无缝地在远程系统上执行代码。协议本
身源自开放软件基金会的 RPC协议,Microsoft在其基础上增加
了自己的一些扩展。
    Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个
远程堆缓冲区溢出问题,远程攻击者可以利用这些漏洞以本地系
统权限在系统上执行任意指令。
    这些漏洞是由于不正确处理畸形消息所致,漏洞实质上影响
的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务
器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸
形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系
统权限执行任意指令。攻击者可以在系统上执行任意操作 ,如
安装程序、查看或更改、删除数据或创建系统管理员权限的帐
户。
    攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP,
139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击。对于启动了
COM Internet服务和RPC over HTTP的用户来说,攻击者还可能
通过80/TCP和443/TCP端口进行攻击。
风险度:


漏洞危害:
   这个漏洞的危害不亚于MS03-026中描述的RPC漏洞。
   此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻
击。由于Windows的DCOM实现在处理一个参数的时候没有检查长
度。通过提交一个超长(数百字节)的文件名参数可以导致堆溢
出,从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统
上以本地系统权限运行代码。攻击者可以在系统中采取任何行
为,包括安装程序, 窃取更改或删除数据,或以完全权限创建
新帐号。
   鉴于处理上一个RPC漏洞的经验以及该漏洞的危害程度,在近
期可能就会出现针对该漏洞的攻击代码及蠕虫病毒,如果不引起
足够的重视,可能仍然会像Nachi蠕虫一样对网络造成致命的打
击。
解决办法:
   针对以上漏洞,CCERT建议用户对您的机器采取以下措施:
1、下载安装相应的补丁程序:
   由于这个漏洞跟8月冲击波(MSBlaster)和冲击波杀手(Nachi)
所用的漏洞不同,补丁KB823980及sp4对该漏洞无效,针对该漏
洞微软已经发布了相应的安全公告与补丁程序,你可以到我们的
网站下载,由于这个漏洞影响重大,我们建议您马上下载补丁程
序并安装:
winnt Workstation 4.0 补丁:
中文版       英文版
winnt server 4.0补丁:
中文版       英文版
win2000补丁:
中文版       英文版
winxp补丁:
中文版       英文版
win2003补丁:
中文版       英文版

2、使用防火墙阻断如下端口:
    135/UDP
    137/UDP
    138/UDP
    445/UDP
    135/TCP
    139/TCP
    445/TCP
    593/TCP
3、如果因为某些原因无法打补丁或确实不能阻塞上述端口可以
考虑暂时禁用DCOM:
     打开"控制面板"-->"管理工具"-->"组件服务"。
     在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的
电脑"上单击    右键,选"属性"。
     选取"默认属性"页,取消"在此计算机上启用分布式
COM"的复选框。
     点击下面的"确定"按钮,并退出"组件服务"。
     注意:禁用DCOM可能导致某些应用程序运行失败和系统运
行异常。包括一些重要系统服务不能启动,所以不推荐此种方
法。应尽量根据上面的介绍打补丁或使用防火墙阻塞端口来确保
系统安全。
注意:
   1、补丁KB823980及sp4对该漏洞无效,必须要要下载这次的补

   2、由于DCOM已经被镶嵌到window的内核当中,因此我们不建
议您使用禁用DCOM的方法来防止该漏洞被利用,因为禁用DCOM可
能会导致您的系统出现许多未知的错误
参考连接:
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
http://www.cert.org/advisories/CA-2003-23.html


 楼主| 发表于 2003-9-21 18:40:07 | 显示全部楼层

比冲击波更厉害 新病毒将再袭Windows

瑞士联邦工学院是瑞士的顶级大学之一,它已经与一些高科技巨头建立了合作关系,向计算机病毒和黑客宣战。
  瑞士联邦工学院与IBM、Sun公司实验室和瑞士信贷银行一起在瑞士建立了一个研究中心,提高数据网络抵御蠕虫、病毒攻击的能力。
  苏黎世信息安全中心的高级研究人员戴维表示,我们希望利用这种合作关系,来强化苏黎世作为国际化信息安全研究中心的地位。
  微软公司称,冲击波病毒给全球造成了数以百万计美元的损失。加强数据网络的安全性已经成为需求极大的一项技术,学术界已经对这种趋势作出了反应。苏黎世信息安全中心已经举行了为期1周的学术研讨会,讨论设立信息安全博士学位的问题。包括汉保大学在内的一些顶尖学府已经开设了高级网络安全课程。
  英国反病毒软件厂商Sophos公司的顾问格雷厄姆表示,IT安全已经成为一个热门话题,这将是一个高薪职位。
 楼主| 发表于 2003-9-21 18:43:49 | 显示全部楼层

比冲击波更厉害 新病毒将再袭Windows

〔请大家注意〕
一种攻击Windows操作系统的新型蠕虫把自己伪装成了微软的官方病毒警告。这种病毒名为“Swen”,通过电子邮件传播,似乎没什么大的伤害,但是安全专家说最糟糕的是作者对它的伪装,这意味着病毒和蠕虫在攻击的诡计方面达到了新的水平。
  防病毒公司“F-Secure”的马加拉尼斯表示:“这种创意我们以前从未见过,这封信很像真的,一定采用了什么先进的社会工程技巧。”。这种蠕虫利用的是几乎两年前发现的IE安全漏洞,没有下载补丁的用户将会立即受到影响。甚至下载了补丁的用户如果点击附件也会受到感染,一旦启动,病毒会启动一个很像是微软安全升级安装程序的过程。
  这种蠕虫伪装成了安装程序,它会问:“下面将安装微软安全升级,你想要继续吗?”点击“是”的用户将看到蠕虫安装进程的图片,即使用户点击“不”,仍然会安装蠕虫。一旦安装,蠕虫将试图使防毒软件和防火墙无效,因此很难在感染的机器中删除蠕虫。
  赛门铁克为删除蠕虫发布了免费软件,还能恢复防毒设置,适用于所有微软用户。专家称该蠕虫似乎没有从事恶意行为,如删除文件或安装特洛伊木马。感染“Swen”的计算机将出现第二个对话框,表示电子邮件程序在发送邮件时遇到了麻烦,需要最新的信息,如有效的电子邮件地址、用户名和口令。
  专家还没有看出蠕虫是否试图将这些发送给蠕虫的作者。蠕虫似乎会追踪感染的计算机,受感染的计算机有时会弹出一个彩色图片,显示一个六位数,但是防毒专家认为受感染的计算机数量被夸大了,赛门铁克认为,目前的传播速度是每小时近800台计算机。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表