光电工程师社区

标题: 微软高危漏洞MS03-026导致病毒泛滥 [打印本页]

---

作者: suncon    时间: 2003-8-14 09:55
标题: 微软高危漏洞MS03-026导致病毒泛滥
微软高危漏洞MS03-026导致病毒泛滥

远程过程调用 (RPC) 是Windows 操作系统使用的一个协议。RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。攻击者利用该漏洞能在受影响的系统上以本地系统权限运行代码，能执行任何操作，包括安装程序，查看、更改或者删除数据，或者建立系统管理员权限的帐户。利用此漏洞的蠕虫病毒也应运而生……
  什么是RPC？

  RPC就是远程过程调用，它是Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。

  7月21日

中国安全专家发现微软严重安全漏洞http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200307/24-152911016.htm

  7月26日

微软发布该漏洞的公告：MS03-026：RPC接口任意代码可执行漏洞
http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200307/17-103210930.htm

  8月2日

  发现：Worm.SdBotRPC病毒

病毒介绍：该蠕虫病毒会感染所有的WINDOWS NT/2000/XP/Server 2003平台的计算机。病毒运行时会利用RPC的漏洞攻击网络中的计算机，攻击成功后向远端系统上的RPC系统服务所监听的端口发送攻击代码，造成远端系统无法使用RPC服务或系统崩溃。


  8月8日

发现：Worm.AutoRooter病毒
发现日期：
病毒介绍：该病毒用VB编程语言编写，利用微软最新的RPC漏洞攻击WINDOWS NT/2000/XP/Server 2003等平台的计算机，病毒体是一个压缩包，运行后会释放3个病毒文件： rpc.exe、rpctest.exe、tftpd.exe，rpc.exe是病毒主文件，完成病毒的感染；rpctest.exe是漏洞探测工具，用于探测有RPC漏洞的计算机，tftpd.exe是第三方的ftp工具，用于上传破坏程序。


  8月12日

发现：冲击波（Worm.Blaster）病毒
病毒介绍：病毒运行时会不停地扫描网络，然后攻击有RPC漏洞的计算机，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

  8月12日

发现：异形（Worm.Rpc.Zerg）病毒

病毒介绍：该病毒本身是一个自解压包，运行时会释放出15个病毒相关文件：ii.vbe、rn.exe、rrpc.exe、rrpc.vbe、rscan.exe、RSDD.EXE、zerg.vbe、hftp.exe、SlimFTPd.exe、slimftpd.conf、1.txt、2.txt、3.txt、4.txt、5.txt。这些病毒文件之间会进行分工合作，有的扫描网络，有的探测RPC漏洞，有的开后门，危害整个系统。

  附录：该15个文件的作用一览：

ii.vbe    ---病毒的主要功能执行模块， 病毒名：Worm.RPC.Zerg

rn.exe    ---网络工具nc.exe

rrpc.exe   ---探测RPC漏洞的工具， 病毒名：Exploit.DCom.b

rrpc.vbe   ---病毒的自动更新模块， 病毒名：Worm.RPC.Zerg.up

rscan.exe   ---探测RPC漏洞的工具， 病毒名：Exploit.DCom.c

RSDD.EXE   ---后门病毒，  病毒名：Trojan.SdBot.05b.Pak

zerg.vbe   ---病毒运行前执行的清理模块， 病毒名：Wrom.RPC.Zerg.Cleanup

hftp.exe   ---第三方的ftp工具

SlimFTPd.exe ---第三方的ftp工具

slimftpd.conf ---SlimFTPd.exe的配置文件

1.txt     ---包含IP地址网络号的文本文件

2.txt     ---包含IP地址网络号的文本文件

3.txt     ---包含IP地址网络号的文本文件

4.txt     ---包含IP地址网络号的文本文件

5.txt     ---包含IP地址网络号的文本文件

---

作者: suncon    时间: 2003-8-14 09:59
标题: 微软高危漏洞MS03-026导致病毒泛滥
这些天XP、2000、NT上网时自动关机问题的紧急解决办法

是微软的一个安全漏洞，造成咱们的机器在网络上被攻击。不上网就行了。我家里的、我们单位同事的，若干电脑都出现这一现象。
赶紧下载微软的补丁吧。就是下面的网址。
微软网站（http://www.microsoft.com/china/windowsxp/）的公告：
注意：请阅读微软安全公告 MS03-26 并且立即安装补丁程序
请 Windows NT® 4.0, Windows 2000, Windows XP 和 Windows Server™ 2003 的用户立即安装补丁程序。
恶性蠕虫病毒—“冲击波（Worm.Blaster）”（原名“爆破工”）在国内迅速泛滥，已经造成大规模感染。

该病毒之所以能够在短时间内造成大面积的泛滥，是因为病毒运行时会扫描网络，寻找操作系统为WINDOWS 2000/XP的计算机，然后通过RPC漏洞进行感染，并且该病毒会操纵135、4444、69端口，危害系统。

用户手工清除方法：请查看系统目录中是否存在一个名为：msblast.exe的文件，如果存在，则证明已经中了该病毒，用户需要做以下操作：首先打开任务管理器，找到名为：“msblast.exe”的进程，然后将之终止；然后到系统目录下直接删除该病毒文件；最后利用注册表编辑工具寻找HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，删除掉 “windows auto update”键值即可完全清除该病毒。

---

作者: suncon    时间: 2003-8-14 10:01
标题: 微软高危漏洞MS03-026导致病毒泛滥
冲击波”恶性蠕虫专杀工具金山毒霸新奉献

类型： 专杀工具
版本： 2003.8.12.2
平台： Windows 9x/Windows 2k
语言： 中文
性质： 免费
大小： 42.5K
更新时间： 2003-08-03

工具介绍：
　　金山毒霸反病毒中心于8月3日截获最新蠕虫病毒，命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软操作系统平台上RPC系统服务的漏洞正在大规模传播。

　　据金山毒霸反病毒工程师介绍：该蠕虫病毒利用RPC的DCOM接口的漏洞，向远端系统上的RPC系统服务所监听的端口发送攻击代码，从而达到传播的目的。受感染的系统向。IRC是比较常用的聊天工具，这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门，等待远端控制者的命令，或是通过IRC进行病毒的升级等操作

---

作者: suncon    时间: 2003-8-14 10:23
标题: 微软高危漏洞MS03-026导致病毒泛滥
国家计算机病毒应急中心：“冲击波”正在蔓延

　国家计算机病毒应急处理中心通过对互联网的监测，于2003年8月11日通发现一种新型的蠕虫病毒，经分析证实该蠕虫病毒是“冲击波”（WORM_MSBlast.A）病毒，目前已在全球迅速传播，由于该病毒利用了7月16日微软公布的RPC漏洞进行传播，而很多系统目前尚没有下载安装该漏洞的补丁程序，所以传播速度相当迅速，波及范围也十分广泛。截止到8月12日15：30我们已经接到北京、天津、辽宁、广东等地多个用户的报警，并且企业用户相对较多，受影响的计算机已超过一万台。
　　遭受该蠕虫感染后可能出现以下现象，Word、Excel、Powerpoint等文件无法正常运行，弹出找不到链接文件的对话框，一些功能如“粘帖”等无法正常使用，控制面板出现异常、系统文件无法正常显示、Windows界面下的功能无法正常使用、计算机反复重新启动等现象。受到DDOS攻击的网站会因收到的服务请求太多而不能处理正常的请求，它可能消耗大量的带宽。

　　国家计算机病毒应急处理中心再次提醒广大用户及时下载补丁程序，升级杀毒软件，使用防火墙对不必要的端口进行过滤，堵住病毒入口，防止其进一步的扩散。

　　蠕虫名称：“冲击波”（WORM_MSBlast.A）

　　蠕虫长度：6,176字节（缩后）11,296字节（未压缩）

　　受影响的系统：Windows NT/2000/XP

　　病毒特性：

　　该蠕虫是利用前不久微软公布的RPC DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃，并通过互联网迅速向容易受到攻击的系统蔓延。

　　RPC DCOM缓冲溢出漏洞可以允许一个攻击者在目标机器上获得完全的权限并且可以执行任意的代码。有关该缓冲溢出漏洞的详细信息, 请访问

　　微软网页 Microsoft Security Bulletin MS03-026

　　或应急中心网页http://www.antivirus-china.org.cn/content/rpc.htm

　　蠕虫会持续扫描具有漏洞的系统，并向具有漏洞的系统的135端口发送数据。在1月至8月的16日至31日以及九月至十二月的任意一天，蠕虫会发动对windowsupdate.com的DDos攻击。

　　蠕虫在网络中持续扫描，寻找容易受到攻击的系统，它就会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE，蠕虫驻留系统后在注册表中创建以下键值，以达到随系统启动而自动运行的目的

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　\Windows\CurrentVersion\Run

　　Windows auto update = MSBLAST.EXE 之后，蠕虫检查自身是否已常驻内存，如果已经在内存中运行，则停止继续运行，反之蠕虫则继续运行，并检查当前计算机是否有可用的网络连接。如果没有连接，蠕虫每间隔10秒对Internet连接进行检查，直到Internet 连接被建立。一旦Internet连接建立，蠕虫会打开被感染的系统上的4444端口，并在端口69进行监听，扫描互联网，尝试连接至其他目标系统的135端口并对它们进行攻击。

　　蠕虫中可以找到如下字符串：

　　“Billy Gates why do you make this possible? Stop making money and fix your software”（比尔·盖茨，你为什么要使这种攻击成为可能？不要再挣更多的钱了，好好修正你发行的软件吧。）

　　请用户参考以下操作。

　　病毒清除的相关操作：

　　1、 终止恶意程序

　　打开Windows任务管理器

　　Windows 95/98/ME系统按CTRL+ALT+DELETE

　　WindowsNT/2000/XP系统按CTRL+SHIFT+ESC

　　在运行的程序清单中查找进程“MSBLAST.EXE”，终止该进程的运行。

　　2、 删除注册表中的自启动项目

　　单击 开始运行, 输入 Regedit, 然后按 Enter 键打开注册表编辑器

　　在左侧面版中依次双击 HKEY_LOCAL_MACHINESoftwareMicrosoft

　　WindowsCurrentVersionRun

　　在右边的列表中查找并删除以下项目

　　Windows auto update = MSBLAST.EXE

　　关闭注册表编辑器

　　3、 登录微软网站，安装RPC漏洞的补丁程序：

　　Microsoft Security Bulletin MS03-026

　　4、 对135端口、69端口的访问进行过滤，使得只能进行受信任以及内部的站点访问

　　5、 运行杀毒软件，对系统进行全面的病毒扫描和清除

　　6、 重新启动计算机，再次进行病毒扫描，确认病毒是否彻底清除

　　国家计算机病毒应急处理中心

　　计算机病毒防治产品检验中心

　　网 址：Http://www.antivirus-China.org.cn

　　电话：022-66211488/66211489/66211490

　　传真：022-66211487

　　电子邮件：security@tj.cnuninet.net

---

作者: suncon    时间: 2003-8-14 10:25
标题: 微软高危漏洞MS03-026导致病毒泛滥
8月12日，瑞星全球反病毒监测网国内率先截获了两个通过RPC漏洞传播的蠕虫病毒—“冲击波（Worm.Blaster）”和“异形(Worm.Rpc.Zerg)”，它会利用该漏洞攻击网络中的计算机，使系统面临着极大的的安全隐患。而据瑞星反病毒专家介绍，今天截获这两个病毒并不是第一个利用RPC漏洞的病毒，早在8月初就已经陆续出现了几个相关病毒，由于该漏洞具有很大的危险性，今后将会有更多的病毒利用该漏洞进行传播，值得一提的是，只要是安装有RPC服务而没有打补丁的计算机，都会存在该漏洞，而该服务是默认安装的，也就是说，WINDOWS NT/2000/XP/server 2003等操作系统都存在该漏洞。
  “冲击波（Worm.Blaster）”病毒运行会不停地扫描网络，然后攻击有RPC漏洞的计算机，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，值得注意的是，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统，这样就使更多的系统漏洞无法打补丁。“异形(Worm.Rpc.Zerg)”病毒本身则是一个自解压包，运行时会释放出15个病毒相关文件，这些病毒文件之间会进行分工合作，有的扫描网络，有的探测RPC漏洞，有的开后门，危害整个用户系统。

  2003年7月21日，微软公布了最新的安全公告：RPC 接口中的缓冲区溢出可能允许执行代码(823980)。用户只要利用该公告中公布的漏洞，就可以轻松攻陷计算机，并且在系统中执行任意的恶性代码，因此具有极大的安全隐患。而在微软公布了该漏洞后的两周内，瑞星技服部每天都能接到大量的询问该漏洞情况的电话与信件，他们中的许多人还反映了系统最近总是出现异常情况，具有关技术人员分析，用户计算机出现的异常情况，极有可能是利用该漏洞的未知病毒所为。

  而瑞星于今日截获的“冲击波（Worm.Blaster）”与“异形(Worm.Rpc_Zerg)”病毒，则都是利用该漏洞进行传播的。瑞星反病毒专家预测，利用该漏洞的病毒将会越来越多，因此提醒用户，升级手中的杀毒软件是对付这些病毒的解决之道，而定期上网更新系统，给系统打安全补丁则是最终的预防之道。

  随着微软操作系统越来越庞大，越来越复杂，漏洞也随之越来越多。微软漏洞已经不仅仅是黑客们攻击网络的秘密通道，而且会被越来越多的病毒编写者利用，成为病毒滋生的温床。黑客利用漏洞往往只做有目的的攻击，最多攻破几个网站，对广大的网络用户没有影响，而病毒利用了漏洞就会造成比黑客大得多的破坏。病毒是自动执行的程序，它就可以不分昼夜地扫描网络，不停地攻击网络中的计算机，然后对这些计算机进行有目的地破坏，给整个互联网带来灾难。

  鉴于最近利用系统漏洞的新病毒有大幅度增加的趋势，为了能够及时有效地防范病毒，瑞星公司建议用户在升级杀毒软件的同时还应该密切关注系统安全信息，及时做系统更新。为了使广大用户能及时了解相关系统安全资讯，从今日起，瑞星官方网站将动态公布最新的系统安全信息，便于用户查询。

  瑞星公司于截获该病毒的当天进行升级，瑞星杀毒软件15.48.01版本可以彻底清除该病毒，请用户及时升级，并登陆http://www.microsoft.com/china/t ... lletin/MS03-026.asp网页查看该漏洞的信息，并下载RPC的补丁程序。


  如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版或使用瑞星在线杀毒及下载版产品：www.rising.com.cn在第一时间内清除该病毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！

---

欢迎光临 光电工程师社区 (http://bbs.oecr.com/)

Powered by Discuz! X3.2