蠕虫名称:
“冲击波”(W32.Blaster.Worm)
蠕虫长度:
6,176字节,用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。解压后11,296字节。
受影响的软件及系统:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
感染途径:
一、 虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。
二、 注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:windows auto update = "msblast.exe",以保证每次用户登录的时候蠕虫都会自动运行。
三、蠕虫还会在本地的UDP/69端口上建立一个TFTP服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。
四、 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
五、 向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送TFTP命令,回连到发起进攻的主机(UDP/69端口),将msblast.exe传到目标系统上,然后运行它。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至此月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!! (比尔·盖茨,你为什么要使这种攻击成为可能?不要再挣更多的钱了,好好修正你发行的软件吧。)
解决方法:
一、检测是否被蠕虫感染:
1.当Window系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然被关闭,很可能表示系统已经受到了这类攻击,请尽快采取相应的措施。
2.检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。
3.注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]键下是否有"windows auto update"="msblast.exe"
4.在任务管理器中查看是否有msblast.exe的进程。
二、清除蠕虫
如果发现系统已经被蠕虫感染,可以使用专用的清杀工具,也可以按照以下步骤手工清除蠕虫:
1.终止恶意程序
打开Windows任务管理器
在运行的程序清单中查找进程“MSBLAST.EXE”,终止该进程的运行。
2.删除系统目录下的msblast.exe。
3.删除注册表中的自启动项
单击 开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表编辑器
在左侧面版中依次双击
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
在右边的列表中查找并删除以下项目windows auto update = "msblast.exe"
关闭注册表编辑器
三、下载补丁:
登录微软网站,安装RPC漏洞的补丁程序
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
或者登录CNCERT/CC的网站下载补丁程序:
http://www.cert.org.cn/upload
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
由于RPC服务已经被镶嵌到Window的内核当中,因此不建议使用关闭RPC服务的方法来防止该漏洞被利用,因为关闭RPC服务可能会导致您的系统出现许多未知的错误
查看全部回复
我也来说两句