枫林在线论坛精华区>>信息安全
[99928] 主题: 当前流行的大量发ICMP包的蠕虫
作者: triton. (triton.)
标题: 当前流行的大量发ICMP包的蠕虫[转载]
来自: 202.112.*.*
发贴时间: 2003年09月13日 21:53:23
长度: 7968字
发信人:triton.bbs@bbs.whnet.edu.cn (3/4勇敢的心--上级),信区:c
n.bbs.comp.security
标  题:当前流行的大量发ICMP包的蠕虫
发信站:武汉白云黄鹤站
转信站:LeafOK!news.zixia.net!news.tiaozhan.com!WHNET

绿盟科技紧急通告(Alert2003-03)
Nsfocus安全小组(security@nsfocus.com)
http://www.nsfocus.com
利用DCOM RPC溢出和WebDAV溢出的蠕虫紧急公告!
发布日期:2003-08-19
CVE CAN ID:CAN-2003-0352
BUGTRAQ ID:8205
受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
综述:
======
绿盟科技安全小组监测到一种针对MS03-026 Microsoft Windows DCOM RP
C接口远程缓冲
区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞的蠕虫
正在活跃,该
蠕虫会发送大量ICMP数据包,阻塞正常网络通信,危害很大。
更新记录:
2003-08-18  23:00  文档创建
分析:
======
北京时间2003年08月18日,绿盟科技安全小组的HoneyPot监测到了一种新
的攻击,绿盟
科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针
对MS03-026 M
icrosoft Windows DCOM RPC接口远程缓冲区溢出漏洞(http://www.nsfo
cus.net/inde
x.php?act=sec_bug&do=view&bug_id=5147)和Microsoft Windo
ws 2000 WebDAV远程缓
冲区溢出漏洞(http://www.nsfocus.net/index.php?act=sec_bug&d
o=view&bug_id=45
54)的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows 2000
、Windows XP
、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害
极大。
该蠕虫大小为10240字节。用VC 6.0编译,upx 压缩。
蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝
到%systemroo
t%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置
为:“Networ
k Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将
自身拷贝到%s
ystemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示
名称设为“WI
NS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服
务管理器中是
看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用
程序也可以看
到。
然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系
统是Windows 
2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -
o -z -q的参数
来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完
后不重新启动
,-q表示安静模式。如果是日文版,则不作修复。
检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,
蠕虫就会退出
,如果没有,就创建一个。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再
按照一定算法
随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为
echo,总大小
为92字节,数据区为64字节的“0xAA”。由于发送的ICMP流量很大,可导
致网络阻塞。
这是蠕虫的主要危害。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机
的一个小于10
00的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\
tftpd.exe”和
“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有
这两个文件,
如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\
svchost.exe”
,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令
的返回判断是
否执行成功,若成功,就执行,不成功则退出。
该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上
阻塞了TCP/13
5端口,也会受影响。
蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。
有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如
果有就将其清
除,如果system32目录下有msblast.exe文件,就删除。
蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~  Welcome Chian~~~  N
otice:  2004 wil
l remove myself:)~~ sorry zhongli~~~=========== wins
解决方法:
==========
我们建议您这样做:
* 检测是否被蠕虫感染:
   检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.ex
e和svchost.e
xe文件,如果有,则说明您已经被感染。
* 暂时禁用DCOM
   1、先断开网络连接,然后重新启动系统。
   2、保持网络连接是断开的。点击左下角的“开始”菜单,选择“运行
”,在其中键
入“dcomcnfg”,点击“确定”,这样就打开了DCOM配置工具。(可能会
出现几个弹出
窗口的提示,可以一律点击确定。)
   3、在“默认属性”页,取消“在这台计算机上启用分布式COM”的复选
框。然后点击
“确定”。
   4、这样我们就禁用了DCOM,您的系统不再受蠕虫的影响,您可以连上
网络继续下面
的安装补丁等操作,但是在安装完补丁之后,最好再启用DCOM,因为我们
不知道您系统
上是否有某些应用依赖于DCOM。
* 安装补丁:
   安装Windows 2000 SP4(http://www.microsoft.com/Windows2000/do
wnloads/serv
icepacks/sp4/download.asp)
   和MS03-026(http://www.microsoft.com/technet/security/bulleti
n/MS03-026.a
sp)的安全更新。下载地址:
   Windows NT 4.0 Server:
   http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC6
6F4E-217E-4F
A7-BDBF-DF77A0B9303F&displaylang=en
   Windows NT 4.0 Terminal Server Edition :
   http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F
0160-64FA-42
4C-A3C1-C9FAD2DC65CA&displaylang=en
   Windows 2000:
   http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8
A846-F541-4C
15-8C9F-220354449117&displaylang=en
   Windows XP 32 bit Edition:
   http://www.microsoft.com/downloads/details.aspx?FamilyId=2354
406C-C5B6-44
AC-9532-3DE40F69C074&displaylang=en
   Windows XP 64 bit Edition:
   http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00
F5DF-4A85-48
8F-80E3-C347ADCC4DF1&displaylang=en
   Windows Server 2003 32 bit Edition:
   http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0
FF3A-9F4C-40
61-9009-3A212458E92E&displaylang=en
   Windows Server 2003 64 bit Edition:
   http://www.microsoft.com/downloads/details.aspx?FamilyId=2B56
6973-C3F0-4E
C1-995F-017E35692BC7&displaylang=en
   安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载
完补丁后断开
网络连接再安装补丁。
* 清除蠕虫
   如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫

   1、按照上述方法安装补丁。
   2、点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,
点击“确定”
。这样就启动了命令提示符。在其中键入:
      net stop RpcPatch
      net stop RpcTftpd
   3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\s
ystem32\wins
\dllhost.exe。
   4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedi
t”,点击“确
定”。这样就启动注册表编辑器。在注册表中删除键:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPa
tch
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTf
tpd
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch

   5、重新启动系统。
   也可利用蠕虫检测系统时间,自动清除自身的特性,将系统时间改到2
004年,然后重
新启动系统,再将时间改回来。
* 针对蠕虫发送大量ICMP导致的网络阻塞解决建议
   可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的
ICMP报文的源
IP都是真实的,可通过在Sniffer上设定过滤规则,捕获大小为92字节的I
CMP ECHO数据
包,统计源IP,即可了解网络中那些系统被蠕虫感染,并采取相应措施。

绿盟科技产品的冰之眼IDS(http://www.nsfocus.com/homepage/product
s/nids.htm)
早在该漏洞发布时(2003年7月)就已经可以检测此种攻击;RSAS(http:
//www.nsfocu
s.com/homepage/products/rsas.htm)也早就可以检测到网络内受该漏洞
影响的主机;
对于大量的ICMP数据流导致的拒绝服务,黑洞(http://www.nsfocus.com
/homepage/pr
oducts/collapsar.htm)是目前最佳解决方案之一。
附加信息:
==========
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug
_id=5147
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug
_id=4554
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

声 明
==========
本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有
限公司不为此
安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息
而造成的任何
直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北
京)有限公司
以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公
司拥有对此安
全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公
告的完整性,
包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,
不得任意修改
或者增减此安全公告内容,不得以任何方式将其用于商业目的。

--

      "每一个生命都需要倾诉"



※ 来源:·武汉白云黄鹤站 bbs.whnet.edu.cn·[FROM: ia.hust.edu.cn
.]  


========== * * * * * ==========
返回