首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2003-03)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

利用DCOM RPC溢出和WebDAV溢出的蠕蟲緊急公告!

發布日期:2003-08-19

CVE ID:CAN-2003-0352
BUGTRAQ ID:8205

受影響的軟件及系統:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

綜述:
======
綠盟科技安全小組監測到一種針對MS03-026 Microsoft Windows DCOM RPC接口遠程緩沖區溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區溢出漏洞的蠕蟲正在活躍,該蠕蟲會發送大量ICMP數據包,阻塞正常網絡通信,危害很大。

更新記錄:

2003-08-18  23:00  文檔創建

分析:
======
北京時間2003年08月18日,綠盟科技安全小組的HoneyPot監測到了一種新的攻擊,綠盟科技安全小組火速對捕獲的數據樣本分析和研究,已經明確,這是一個針對MS03-026 Microsoft Windows DCOM RPC接口遠程緩沖區溢出漏洞(http://www.uaeogq.live/index.php?act=sec_bug&do=view&bug_id=5147)和Microsoft Windows 2000 WebDAV遠程緩沖區溢出漏洞(http://www.uaeogq.live/index.php?act=sec_bug&do=view&bug_id=4554)的蠕蟲。因為該漏洞影響所有沒有安裝MS03-026補丁的Windows 2000、Windows XP、Windows 2003系統,不僅是服務器,也包括個人計算機在內,所以危害極大。

該蠕蟲大小為10240字節。用VC 6.0編譯,upx 壓縮。

蠕蟲感染系統后首先將%systemroot%\system32\dllcache\tftpd.exe拷貝到%systemroot%\system32\wins\svchost.exe,創建服務“RpcTftpd”,顯示名稱設置為:“Network Connections Sharing”,并將MSDTC服務的描述信息復制給自己;再將自身拷貝到%systemroot%\system32\wins\dllhost.exe,創建服務“RpcPatch”,顯示名稱設為“WINS Client”,并將Browser服務的描述信息復制給自己。這兩個服務在服務管理器中是看不見的。但是啟動后,用net start命令可以看到,用其他服務管理實用程序也可以看到。

然后蠕蟲會根據系統語言版本是簡體中文、繁體中文、韓文、英文以及系統是Windows 2000還是Windows XP分別到微軟站點下載相應的MS03-026補丁,并用-n -o -z -q的參數來安裝,-n表示不創建備份文件,-o表示覆蓋文件不提示,-z表示安裝完后不重新啟動,-q表示安靜模式。如果是日文版,則不作修復。

檢測是否有名為“RpcPatch_Mute”的互斥體存在,如果檢測到該互斥體,蠕蟲就會退出,如果沒有,就創建一個。

蠕蟲選擇目標IP地址的時候會首先選擇受感染系統所在子網的IP,然后再按照一定算法隨機在互連網上用ICMP掃描的方法尋找存活主機,發送的ICMP報文類型為echo,總大小為92字節,數據區為64字節的“0xAA”。由于發送的ICMP流量很大,可導致網絡阻塞。這是蠕蟲的主要危害。

一旦找到存活主機,就會嘗試用DCOM RPC溢出。溢出成功后監聽本機隨機的一個小于1000的TCP端口,等待目標主機回連,連接成功后首先發送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根據返回字符串判斷目標系統上是否有這兩個文件,如果目標系統上有tftpd.exe文件,則“copy dllcache\tftpd.exe wins\svchost.exe”,如果沒有,就利用自己建立的tftp服務將文件傳過去。并根據tftp命令的返回判斷是否執行成功,若成功,就執行,不成功則退出。

該蠕蟲還利用了WebDAV漏洞,如果目標主機存在該漏洞,既使在防火墻上阻塞了TCP/135端口,也會受影響。

蠕蟲會檢測系統時間,如果系統時間是2004年,就自動清除自身。

有趣的是,該蠕蟲運行的時候會判斷內存中是否有msblast蠕蟲的進程,如果有就將其清除,如果system32目錄下有msblast.exe文件,就刪除。

蠕蟲代碼中還包含以下數據:
=========== I love my wife & baby :)~~~  Welcome Chian~~~  Notice:  2004 will remove myself:)~~ sorry zhongli~~~=========== wins

解決方法:
==========
我們建議您這樣做:

* 檢測是否被蠕蟲感染:

   檢查系統的%systemroot%\system32\wins\目錄下是否存在dllhost.exe和svchost.exe文件,如果有,則說明您已經被感染。

* 暫時禁用DCOM

   1、先斷開網絡連接,然后重新啟動系統。

   2、保持網絡連接是斷開的。點擊左下角的“開始”菜單,選擇“運行”,在其中鍵入“dcomcnfg”,點擊“確定”,這樣就打開了DCOM配置工具。(可能會出現幾個彈出窗口的提示,可以一律點擊確定。)

   3、在“默認屬性”頁,取消“在這臺計算機上啟用分布式COM”的復選框。然后點擊“確定”。

   4、這樣我們就禁用了DCOM,您的系統不再受蠕蟲的影響,您可以連上網絡繼續下面的安裝補丁等操作,但是在安裝完補丁之后,最好再啟用DCOM,因為我們不知道您系統上是否有某些應用依賴于DCOM。

* 安裝補丁:

   安裝Windows 2000 SP4(http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp
   和MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下載地址:
  
   Windows NT 4.0 Server:

   http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

   Windows NT 4.0 Terminal Server Edition :

   http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

   Windows 2000:

   http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

   Windows XP 32 bit Edition:

   http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

   Windows XP 64 bit Edition:

   http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

   Windows Server 2003 32 bit Edition:

   http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

   Windows Server 2003 64 bit Edition:

   http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

   安裝補丁后您需要重新啟動系統才能使補丁生效,如有可能,請在下載完補丁后斷開網絡連接再安裝補丁。

* 清除蠕蟲

   如果發現系統已經被蠕蟲感染,我們建議您按照以下步驟手工清除蠕蟲:

   1、按照上述方法安裝補丁。

   2、點擊左下角的“開始”菜單,選擇“運行”,在其中鍵入“cmd”,點擊“確定”。這樣就啟動了命令提示符。在其中鍵入:
      net stop RpcPatch
      net stop RpcTftpd

   3、刪除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。

   4、點擊左下角的“開始”菜單,選擇“運行”,在其中鍵入“regedit”,點擊“確定”。這樣就啟動注冊表編輯器。在注冊表中刪除鍵:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch

   5、重新啟動系統。

   也可利用蠕蟲檢測系統時間,自動清除自身的特性,將系統時間改到2004年,然后重新啟動系統,再將時間改回來。

* 針對蠕蟲發送大量ICMP導致的網絡阻塞解決建議

   可暫時在網絡設備上禁止或者限制ICMP ECHO數據包。由于蠕蟲發送的ICMP報文的源IP都是真實的,可通過在Sniffer上設定過濾規則,捕獲大小為92字節的ICMP ECHO數據包,統計源IP,即可了解網絡中那些系統被蠕蟲感染,并采取相應措施。

綠盟科技產品的冰之眼IDS(http://www.nsfocus.com/homepage/products/nids.htm)早在該漏洞發布時(2003年7月)就已經可以檢測此種攻擊;RSAS(http://www.nsfocus.com/homepage/products/rsas.htm)也早就可以檢測到網絡內受該漏洞影響的主機;對于大量的ICMP數據流導致的拒絕服務,黑洞(http://www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解決方案之一。

附加信息:
==========
http://www.uaeogq.live/index.php?act=sec_bug&do=view&bug_id=5147
http://www.uaeogq.live/index.php?act=sec_bug&do=view&bug_id=4554
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 长龙只跟不反不倍投 极速pk10计划软件 10bet官网中文 全国统一5分快三计划图 快乐8开奖结果 湖南红中麻将技巧 拉球赚钱游戏下载 五分彩怎么倍投技巧 梦幻西游萌新五开赚钱 琼崖海南麻将安卓下载 炸金花控牌慢手法视频 那里能找到带练赚钱