当前流行的大量发ICMP包的蠕虫

[99928] 主题：当前流行的大量发ICMP包的蠕虫

	作者： triton. (triton.)
	标题：当前流行的大量发ICMP包的蠕虫[转载]
	来自： 202.112..
	发贴时间： 2003年09月13日 21:53:23
	长度： 7968字

	发信人：triton.bbs@bbs.whnet.edu.cn (3/4勇敢的心--上级)，信区：c n.bbs.comp.security 标题：当前流行的大量发ICMP包的蠕虫发信站：武汉白云黄鹤站转信站：LeafOK!news.zixia.net!news.tiaozhan.com!WHNET 绿盟科技紧急通告(Alert2003-03) Nsfocus安全小组(security@nsfocus.com) http://www.nsfocus.com 利用DCOM RPC溢出和WebDAV溢出的蠕虫紧急公告！发布日期：2003-08-19 CVE CAN ID：CAN-2003-0352 BUGTRAQ ID：8205 受影响的软件及系统： ==================== Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows 2003 综述： ====== 绿盟科技安全小组监测到一种针对MS03-026 Microsoft Windows DCOM RP C接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞的蠕虫正在活跃，该蠕虫会发送大量ICMP数据包，阻塞正常网络通信，危害很大。更新记录： 2003-08-18 23:00 文档创建分析： ====== 北京时间2003年08月18日，绿盟科技安全小组的HoneyPot监测到了一种新的攻击，绿盟科技安全小组火速对捕获的数据样本分析和研究，已经明确，这是一个针对MS03-026 M icrosoft Windows DCOM RPC接口远程缓冲区溢出漏洞（http://www.nsfo cus.net/inde x.php?act=sec_bug&do=view&bug_id=5147）和Microsoft Windo ws 2000 WebDAV远程缓冲区溢出漏洞（http://www.nsfocus.net/index.php?act=sec_bug&d o=view&bug_id=45 54）的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows 2000 、Windows XP 、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。该蠕虫大小为10240字节。用VC 6.0编译，upx 压缩。蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroo t%\system32\wins\svchost.exe，创建服务“RpcTftpd”，显示名称设置为：“Networ k Connections Sharing”，并将MSDTC服务的描述信息复制给自己；再将自身拷贝到%s ystemroot%\system32\wins\dllhost.exe，创建服务“RpcPatch”，显示名称设为“WI NS Client”，并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后，用net start命令可以看到，用其他服务管理实用程序也可以看到。然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁，并用-n - o -z -q的参数来安装，-n表示不创建备份文件，-o表示覆盖文件不提示，-z表示安装完后不重新启动，-q表示安静模式。如果是日文版，则不作修复。检测是否有名为“RpcPatch_Mute”的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机，发送的ICMP报文类型为 echo，总大小为92字节，数据区为64字节的“0xAA”。由于发送的ICMP流量很大，可导致网络阻塞。这是蠕虫的主要危害。一旦找到存活主机，就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于10 00的TCP端口，等待目标主机回连，连接成功后首先发送“dir dllcache\ tftpd.exe”和 “dir wins\dllhost.exe”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，则“copy dllcache\tftpd.exe wins\ svchost.exe” ，如果没有，就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功，若成功，就执行，不成功则退出。该蠕虫还利用了WebDAV漏洞，如果目标主机存在该漏洞，既使在防火墙上阻塞了TCP/13 5端口，也会受影响。蠕虫会检测系统时间，如果系统时间是2004年，就自动清除自身。有趣的是，该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程，如果有就将其清除，如果system32目录下有msblast.exe文件，就删除。蠕虫代码中还包含以下数据： =========== I love my wife & baby :)~~~ Welcome Chian~~~ N otice: 2004 wil l remove myself:)~~ sorry zhongli~~~=========== wins 解决方法： ========== 我们建议您这样做： * 检测是否被蠕虫感染：检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.ex e和svchost.e xe文件，如果有，则说明您已经被感染。 * 暂时禁用DCOM 1、先断开网络连接，然后重新启动系统。 2、保持网络连接是断开的。点击左下角的“开始”菜单，选择“运行 ”，在其中键入“dcomcnfg”，点击“确定”，这样就打开了DCOM配置工具。（可能会出现几个弹出窗口的提示，可以一律点击确定。） 3、在“默认属性”页，取消“在这台计算机上启用分布式COM”的复选框。然后点击 “确定”。 4、这样我们就禁用了DCOM，您的系统不再受蠕虫的影响，您可以连上网络继续下面的安装补丁等操作，但是在安装完补丁之后，最好再启用DCOM，因为我们不知道您系统上是否有某些应用依赖于DCOM。 * 安装补丁：安装Windows 2000 SP4（http://www.microsoft.com/Windows2000/do wnloads/serv icepacks/sp4/download.asp）和MS03-026（http://www.microsoft.com/technet/security/bulleti n/MS03-026.a sp）的安全更新。下载地址： Windows NT 4.0 Server： http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC6 6F4E-217E-4F A7-BDBF-DF77A0B9303F&displaylang=en Windows NT 4.0 Terminal Server Edition ： http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F 0160-64FA-42 4C-A3C1-C9FAD2DC65CA&displaylang=en Windows 2000： http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8 A846-F541-4C 15-8C9F-220354449117&displaylang=en Windows XP 32 bit Edition： http://www.microsoft.com/downloads/details.aspx?FamilyId=2354 406C-C5B6-44 AC-9532-3DE40F69C074&displaylang=en Windows XP 64 bit Edition： http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00 F5DF-4A85-48 8F-80E3-C347ADCC4DF1&displaylang=en Windows Server 2003 32 bit Edition： http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0 FF3A-9F4C-40 61-9009-3A212458E92E&displaylang=en Windows Server 2003 64 bit Edition： http://www.microsoft.com/downloads/details.aspx?FamilyId=2B56 6973-C3F0-4E C1-995F-017E35692BC7&displaylang=en 安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断开网络连接再安装补丁。 * 清除蠕虫如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫： 1、按照上述方法安装补丁。 2、点击左下角的“开始”菜单，选择“运行”，在其中键入“cmd”，点击“确定” 。这样就启动了命令提示符。在其中键入： net stop RpcPatch net stop RpcTftpd 3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\s ystem32\wins \dllhost.exe。 4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedi t”，点击“确定”。这样就启动注册表编辑器。在注册表中删除键： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPa tch HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTf tpd HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch 5、重新启动系统。也可利用蠕虫检测系统时间，自动清除自身的特性，将系统时间改到2 004年，然后重新启动系统，再将时间改回来。 * 针对蠕虫发送大量ICMP导致的网络阻塞解决建议可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的 ICMP报文的源 IP都是真实的，可通过在Sniffer上设定过滤规则，捕获大小为92字节的I CMP ECHO数据包，统计源IP，即可了解网络中那些系统被蠕虫感染，并采取相应措施。绿盟科技产品的冰之眼IDS（http://www.nsfocus.com/homepage/product s/nids.htm）早在该漏洞发布时（2003年7月）就已经可以检测此种攻击；RSAS（http: //www.nsfocu s.com/homepage/products/rsas.htm）也早就可以检测到网络内受该漏洞影响的主机；对于大量的ICMP数据流导致的拒绝服务，黑洞（http://www.nsfocus.com /homepage/pr oducts/collapsar.htm）是目前最佳解决方案之一。附加信息： ========== http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug _id=5147 http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug _id=4554 http://www.microsoft.com/technet/security/bulletin/MS03-026.asp http://www.microsoft.com/technet/security/bulletin/MS03-007.asp 声明 ========== 本安全公告仅用来描述可能存在的安全问题，中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。 -- "每一个生命都需要倾诉" ※ 来源:·武汉白云黄鹤站 bbs.whnet.edu.cn·[FROM: ia.hust.edu.cn .]
	========== * * * * * ==========