添加时间: 2005-5-21 3:35:54  作者: 网络收集  阅读次数:104   来源: http://d9soft.com

       
　　Blast清除者（MSBlast.Remove.Worm/W32）安全公告

　　2003年8月18日23时，互联网中出现一种新的蠕虫病毒MSBlast.Remove.Worm/W32，中国教育与科研计算机网络应急组织（CCERT）以及澳大利亚、日本、香港等的应急组织都已经通过合作渠道确认该蠕虫的活动情况，并发现该蠕虫在网络中形成大量ICMP报文。我国很多其它骨干互联网的应急组织也已经反映ICMP报文流量较大，大量互联网用户上网速度明显受到影响。

　　该蠕虫专门清除目前正在传播的MSBLAST蠕虫，但是其本身对互联网的正常运行已经造成了危害，而且未经用户授权利用用户计算机的漏洞注入自己的程序也极有可能给用户带来损失，况且这种做法的合法性也存在问题。
CNCERT/CC与启明星辰公司的联合分析报告如下：

　　蠕虫发现日期：2003年8月18日
　　紧急程度：高
　　危害程度：中
　　蠕虫概述：
　　-------------------
　　此蠕虫利用Windows RPC DCOM漏洞（MS03-026）及Windows IIS WEBDAV(MS03-07)作为感染攻击手段，并通过tftp（udp69简单文件传输协议）下载病毒体到被感染机器中。该MSBlast.Remove.Worm/W32蠕虫病毒不在被感染系统留下后门，也不会进行有目的的拒绝服务攻击。其感染目的是清除MSBlast.Worm/W32病毒体及分别为Win2000、Win XP的韩文系统、繁体中文系统、简体中文系统、英文系统下载和安装Windows RPC DCOM（MS03-26）安全补丁。但该蠕虫大量的向外连接包将造成严重的带宽消耗。
蠕虫技术细节描述：
　　--------------------------
　　蠕虫定义名称：
　　MSBlast.Remove.Worm/W32
　　感染途径：
　　病毒体初始化前为了避免蠕虫多次感染运行，会检查或者建立一个互斥量并将其命名为"RpcPatch_Mutex"。

　　蠕虫体被运行后，蠕虫会在%System%\wins文件夹中复制一个蠕虫体拷贝（DLLHOST.EXE），然后蠕虫会新建一个服务，服务名为 "RpcPatch", 显示名称为 "WINS Client"，可执行文件的路径为%System%\wins\ DLLHOST.EXE，大小为10KB，服务启动属性为自动运行。
（注意：系统目录里也有一个DLLHOST.EXE文件，但它是正常文件，大小只有6KB）
接下来蠕虫会把TFTPD.EXE拷贝到%System%\Wins目录下面取名为SVCHOST.EXE，建立一个服务，服务名称为"RpcTftpd"，显示名称为 "Network Connections Sharing"，可执行文件的路径为%System%\wins\SVCHOST.EXE，服务启动属性为自动运行。

　　（注意：系统目录里也有一个SVCHOST.EXE文件，但它是正常文件，大小为7952字节）
当系统重新启动的时候，以上两个服务启动触发蠕虫病毒运行。该蠕虫以系统服务形式启动这是与MSBlast病毒所使用的注册表RUN键值启动所不同的。
蠕虫会绑定一个由随机数除以100并把余数加上666的最终值作为提供感染源连接发送病毒体文件操作命令的端口，建立独立线程（分析中发现多次出现TCP 707端口)。当检测到dllhost.exe、tftpd.exe字符串的时候该端口关闭。

　　蠕虫特点：

　　·杀除其它MSBLAST蠕虫

　　这个蠕虫的一个重要特点是，它会在系统中寻找其它MSBlast蠕虫的进程，如果找到就会把MSBlast的进程停掉，Sleep5秒后查找系统目录下是否有MSblast病毒体，如果发现立即删除。

　　·下载补丁

　　蠕虫会通过%system%\WinSxS下查询判断是Windows2000或WindowsXP，再判断系统的语言版本，然后从微软网站上下载相应的的RPC DCOM(MS03-26)的补丁程序并且安装。自动打补丁的系统范围为：韩文系统、繁体中文系统、简体中文系统、英文系统。

　　·会删除自身

　　蠕虫会在删除完MSBlast后开始检查系统时间。当系统设置的年份为2004年时，把自己从系统中删除掉。也对应了这个作者在代码中的一句留言 "Notice: 2004 will remove myself:-)"

　　清除方法：

　　由于该病毒的自清除属性。您可以修改系统时间年份至2004年，并重新启动系统。安装漏洞补丁后再矫正系统时间。

　　请互联网用户迅速至微软网站下载并安装Windows2000 SP4补丁及针对该Windows RPC DCOM（MS03-26）漏洞的相应补丁（CNCERT/CC网站也提供了对此漏洞的补丁下载，请见MSBALST蠕虫公告）。

 

 

网络技术分类导航

• 局域网专栏
• 病毒快报
• 网络安全
• 组网教程
• WEB服务器架设与维护
• FTP服务器架设与维护
• DNS服务器架设与维护
• 邮件服务器架设与维护

本类经典文章推荐

• 帮你支招:如何避免CSRF攻击
• Ghost有漏洞 镜像恢复需小心陷阱
• 微软危急补丁涉及所有版本Windows
• 完美解决双击无法打开C、D、E、F盘...
• 技巧：交换机安全设置六大原则
• 后门的分类及各种入侵办法说明
• 针对Linux网络服务器的渗透测试
• 路由器的故障分析及排除技巧
• Linux下的用户口令及其安全性
• 视频文件夹带木马的常见应对策略

网络安全阅读排行

• 网络解惑：找回消失的本地连接
• 南阳信息港被黑案告破!
• SXS.EXE木马病毒的清除方法
• 教你如何手动杀SXS.EXE这种病毒
• U盘病毒和Autorun.inf文件分析
• 强人的试用18款杀软手记 ！！！看...
• 网络防火墙技术应用!
• 远程控制解决问题集合
• 突破网吧极限及机房管理限制的方法
• 无线局域网加密技术再次被破解

网络技术阅读总排行

• 网络解惑：找回消失的本地连接
• 教你如何通过路由器来控制上网
• 网卡故障排除技巧详解
• FlashFTP教程
• 网上邻居十大经典应用技巧
• 如何有效建立Win2000 VPN服务器
• 经济实惠：组建P2P电影服务器
• 小区宽带主要常见故障解决办法
• 南阳信息港被黑案告破!
• 查找局域网络中的故障技巧

广告位置