MSBLAST蠕虫紧急公告！

MSBLAST蠕虫紧急公告！
发布日期：2003-08-12
CVE CAN ID：CAN-2003-0352
BUGTRAQ ID：8205
受影响的软件及系统：
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
综述：
======
绿盟科技安全小组的HoneyPot监测到一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃，危害极大。
更新记录：
2003-08-12  11:00  文档创建
分析：
======
北京时间2003年08月12日，绿盟科技安全小组的HoneyPot监测到了一种新的攻击，绿盟科技安全小组火速对捕获的数据样本分析和研究，已经明确，这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞（http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147）的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。
该蠕虫大小为6176字节。用LCC-Win32 v1.03编译，upx 1.22压缩，创建时间是2003年8月11日7点21分。
蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。
然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值：
"windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。
一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003，但是可以造成Windows 2003系统的RPC服务崩溃，默认情况下，这将使系统重启。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说，从2003年8月16日开始就会一直进行拒绝服务攻击。
蠕虫代码中还包含以下文本数据：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
解决方法：
==========
* 检测是否被蠕虫感染：
   1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入：
      C:\>dir %systemroot%\system32\msblast.exe
      如果被感染，那么您可以看到类似的显示结果：
      C:\>dir %systemroot%\system32\msblast.exe
       驱动器 C 中的卷是 sys
       卷的序列号是 A401-04A9
       C:\WINNT\system32 的目录
      2003-08-12  03:03                6,176 msblast.exe
                     1 个文件          6,176 字节
                     0 个目录  2,701,848,576 可用字节
   2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入：
      C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      C:\>type tmp.txt
      如果被感染，那么您可以看到类似的显示结果：
      C:\>type tmp.txt
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "windows auto update"="msblast.exe"
   3、在任务管理器中查看是否有msblast.exe的进程。如果有，说明蠕虫正在您的系统上运行。

* 预防蠕虫感染：
   安装MS03-026（http://www.microsoft.com/technet/security/bulletin/MS03-026.asp）的安全更新。下载地址：
   
   Windows NT 4.0 Server：
   http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
   Windows NT 4.0 Terminal Server Edition ：
   http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
   Windows 2000：
   http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
   Windows XP 32 bit Edition：
   http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
   Windows XP 64 bit Edition：
   http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
   Windows Server 2003 32 bit Edition：
   http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
   Windows Server 2003 64 bit Edition：
   http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
   安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
   如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：
   1、按照上述“预防蠕虫感染”的方法安装补丁。
   2、点击左下角的“开始”菜单，选择“运行”，在其中键入“taskmgr”，点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
   3、删除系统目录下的msblast.exe。
   4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除其下的"windows auto update"="msblast.exe"。
   5、重新启动系统。
   截至目前为止，一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征，可以清除该蠕虫，请更新您杀毒软件的病毒特征库进行查杀。
绿盟科技产品的冰之眼IDS（http://www.nsfocus.com/homepage/products/nids.htm）早在该漏洞发布时（2003年7月）就已经可以检测此种攻击；RSAS（http://www.nsfocus.com/homepage/products/rsas.htm）也早就可以检测到网络内受该漏洞影响的主机；对于大量的TCP数据流导致的拒绝服务，黑洞（http://www.nsfocus.com/homepage/products/collapsar.htm）是目前最佳解决方案之一。
附加信息：
==========
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
声 明
==========
本安全公告仅用来描述可能存在的安全问题，中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

杀病毒的过程并不复杂