b(|1DE�0Cv
病毒的起源: �"OO�"Ab{t
�0NMekV�i�
2003年7月16日,微软公司发布了“RPC接口中的缓冲区溢出”的漏洞补丁。该漏洞存在于RPC中处理通过TCP/IP的消息交换的部分,攻击者通过TCP 135端口,向远程计算机发送特殊形式的请求,允许攻击者在目标机器上获得完全的权限并且可以执行任意的代码。 ]Sgc�42hk�
�beCTOmC��
病毒制造者迅即抓住了这一机会,首先制作出了一个利用此漏洞的蠕虫病毒。俄罗斯著名反病毒厂商Kaspersky labs于2003年8月4日捕获了这个病毒,并发布了命名为Worm.Win32.Autorooter病毒的信息。 �ts�3BmfR?
`8�rI�n�fV
Worm.Win32.Autorooter是后门和蠕虫功能混合型的病毒。它包括三个组件——蠕虫载体、FTP服务器文件、攻击模块(通过微软漏洞),攻击模块首先会引起操作系统缓冲器出溢同时并加载其它组件。由于Autorooter当时的版本没有自我复制功能,虽然在互联网传播有一些限制,但通过内置的FTP服务器会加载IRCvot木马程序。一旦运行该木马将允许黑客操控受害的计算机。 �#�^~[\8v>
9�8�AX=�%8
通过对Worm.Win32.Autorooter病毒的分析,Kaspersky的开创者Eugene Kaspersky准确地预见了:“我们认为现在这个病毒只是一个测试版,更多的变种可能即将出现,并对互联网造成严重的危害。Autorooter病毒制造者很可能是想先创建一个染毒的网络环境,然后为它后续的病毒感染或黑客攻击做铺垫。” 1rmK#ld"=Z
`$od�xo+�
正如Eugene Kaspersky先前曾做过的很多预言一样(如首次预言病毒会通过NTFS文件系统中的数据流进行传播并一度引起反病毒界的争论,被后来陆续检测出此类病毒而得到证实,这类病毒的典型案例是广泛传播的Hybris),一个星期后的2003年8月12日,Worm.Win32.Autorooter的新变种蠕虫病毒Worm.Win32.Lovesan出现了。 �">^O��{X\
\�E3�e�vU
Lovesan的出现,给互连网立即带来了巨大的冲击,它能够向未安装上述补丁的系统发起攻击并迅速蔓延,还造成了一些系统的崩溃。 Mk~]�0��d�
�
YYc.e T<
Worm.Win32.Lovesan用C语言编写,利用LCC编译,是Windows PE可执行文件,大小约为6KB(用UPX压缩工具,解压后为11KB)。在被感染的系统者,Lovesan会下载并运行名为blast.exe文件,该文件中有以下的文字:“I just want to say LOVE YOU SAN!! Billy Gates why do you make this possible? Stop making money and fix your software”(我只想说爱你SAN!!比尔·盖茨,为什么你要使这种攻击成为可能?不要再赚更多的钱了,好好修正你的软件吧。)感染病毒后的系统现象: ��\KJ\>�2Y
42wa9UL<Ka
l在Windows system32文件夹中存在MSBLAST.exe文件 ;>�d�uY\$<
|�n
�Fg"W�
l提示错误信息:RPC服务失败。由此造成系统重新启动。 �;��P�#c!�
[s��pJ%AhV
病毒的传播机制: NY`$��D}Bi
"�
/��&�_B
Lovesan会在系统每次重启后,在系统注册表中注册以下键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwindows auto update="msblast.exe" N5%z�bf�KM
(
u��gB3o�
然后蠕虫开始扫描网络中的IP地址,随机选择20个IP地址进行连接,并感染有此漏洞的计算机,在间歇1.8秒后再扫描另外的20个IP地址。 }�I1�SC7gY
5�uU
.K3G7
Worm.Win32.Lovesan下列方式之一扫描IP地址: �V{j�>09u�
IP���]"�D"
1.在60%的情况下,Lovesan随机选择基本的IP地址(A.B.C.D),其中A、B、C为0-255间的随机值,而D值为零。 ^}���gQh#
A�@k��p`�-
2.在其余情况下,Lovesan扫描该子网并获得本地染毒染机器的IP地址。从这些IP地址中取出A和B的值并设置D值为0,然后病毒按下列方式得到C的值: _� x�AL0 (
^�"
Es�Bt
如果C值小于等于20,Lovesan不作修改。即如果本地的IP地址是207.46.14.1,蠕虫将从207.46.14.0开始扫描。 >��J]^Rgn>
,(�6U3W*bu
如果C值大于20,Lovesan会在C和C减去19之间选择一个随机值。即如果染毒机 �$H�9+>Z0(
7eh<>X!T�X
Worm.Win32.Lovesan将通过TCP 135端口向受害计算机发送缓冲区溢出请求,然后在刚感染的计算机上开启TCP 4444端口启动远程shell。 -Tw9��6 dv
py9HUyr5eZ
Lovesan对开启4444端口的连接运行一个线程,等待从受害机器发出FTP的“get”请求。然后Lovesan强迫受害机器发送“FTP get”请求,从而从已染毒的计算机下载蠕虫并运行。这样,受害机器也被感染了。 5f:Mb|�.�?
>0W:snNK�
一旦计算机被感染Lovesan,系统将发送RPC服务失败的出错信息,并可能重新启动计算机。 r
pv�`
�%
l 4�zl|6%�
在2003年8月16日,Lovesan将对微软公司的Windowsupdate.com发起分布式拒绝服务(DDOS)攻击。 <F=U(W�Wn9
>>
�**n9\q
手动清除方法: nty�^�De%�
Jzg>Y?jN R
1.断开网络连接; �W�3XV��r&
6[dLj9 �G%
2.终止蠕虫程序的msblast.exe进程:对于Windows 95/98/ME系统,按CTRL+ALT+DELETE;对于Windows NT/2000/XP系统,按CTRL+SHIFT+ESC,选择进程标签页; �iBq|�]���
;^q@w����
3.在运行的程序列表中,查找MSBLAST.EXE进程并终止此进程; .�#M��'���
�x�
�:h0/f
4.点击“开始”à“运行”,输入Regedit,点击“确认”按钮,打开注册表管理器窗口; e�;y\�v/A
=@ �'>|-w|
5.展开注册表的下列项目: om`x�"x�&6
&i��&�k 4�
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run pZS�0;T]W,
\GL!x 7s1A
6.在窗口右边的列表中删除键值:Windows auto update = MSBLAST.EXE �HC��4ve�t
~�nQv
yM!$
病毒防范:如果你无法安装系统补丁, �
��_I$\O5
j4ARG�kK5B
在防火墙中禁止端口69、135、4444:端口135用于启动与远程计算机的RPC连接。在防火墙中禁止端口135有助于防止有人企图利用此漏洞攻击防火墙后面的系统。 He#5d!cf:M
�m�gIB8D+6
Internet连接防火墙:如果您使用Windows XP或Windows Server 2003中的Internet连接防火墙功能来帮助保护您的Internet连接,则默认情况下,它将禁止来自Internet的入站RPC通信。 �Zc_%hQf2A
Qi
3���d�i
在所有未打补丁的计算机上禁用DCOM:当计算机属于某个网络的一部分时,DCOM网络协议可使该计算机上的COM对象能够与其他计算机上的COM对象通信。您可以对特定的计算机禁用DCOM以帮助防范他人利用此漏洞发动的攻击,但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用DCOM,则无法远程访问该计算机以重新启用DCOM。 ~i)m(65��:
d|��^cKLu�
安装系统补丁: qS�B��]Zm<
pvCf4pf~��
建议用户安装微软823980补丁。需注意用户在安装此补丁包之前,需要安装先前的系统补丁,有关详细信息,请访问微软网站: Q\pTyNAYn�
�B0_[bQoc1
另外,请广大卡巴斯基(Kaspersky Anti-Virus,原名AVP)的用户迅速升级病毒代码。 f`zH#{u���
k<�1BE^[�V
敬请访问卡巴斯基公司网站www.kaspersky.com.cn,了解该病毒的更多介绍。 |
