Virus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: A级蠕虫事态分析报告(Worm.Win32.Blaster)
发信站: 哈工大紫丁香 (Tue Aug 12 11:42:48 2003)


哈工大——安天联合Cert小组 

A级蠕虫事态分析报告
Worm.Win32.Blaster

(2003-03-10-B Ver01.06) 

首次发布时间：2003-08-12 10:32 

最近更新时间：2003-08-12 11:36 

第1次更新

一、基本情况说明

（特感谢各兄弟安全公司和网站转载本站资料，欢迎继续转载但请注明出处）

    2003年8月12日，早9点，哈工大安天联合cert小组于教育网监控节点，发现大量异常
RPC扫描。初步判定为利用7月微软公布的RPC漏洞的新蠕虫。Cert小组迅速锁定校内感染目
标，得到了病毒样本。

二、分析报告：

  

　

系统分析*可能的异常文件列表：

　

文件名 路径 大小（字节） 
msblast.exe %windir%\system32 6,176 字节 

蠕虫*基本说明

这是我Cert捕获到的第三个利用该漏洞的蠕虫，但从感染情况看，这个蠕虫要比前两个感
染面积大得多。这是一个非常短小的蠕虫，采用LCC编译，并使用UPX进行压缩。

通过初步分析看，这个蠕虫的基本工作机理步骤如下：

1、检验互斥体存在，避免重复感染。创建互斥体。
2、修改注册表，保证开机运行：
在主键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加一个字符串值

"windows auto update"="msblast.exe"

to the registry key:
3、创建随机地址范围，进行扫描。

4、发送DCOM RPC漏洞的溢出包，创建针对TCP port 4444 远程侦听调用。

5、通过UDP 69端口传送Msblast.exe

6、按照时间触发条件，判断对微软升级网站进行DoS攻击。


用户应急处理建议：
通过防火墙关闭135、69、4444端口，并迅速进行Windows Update。
怀疑感染的可以用户自行根据上面介绍的情况情况检查感染情况，删除对应注册表键值和
对应文件。 

　 

也可以直接访问此连接进行补丁 

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bu
lletin/MS03-026.asp 

首先选择你的系统，之后选择语言。 

也可以直接从下面连接下载。 

中文2K 

http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A84
6-F541-4C15-8C9F-22035444911 

中文XP
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406
C-C5B6-44AC-9532-3DE40F69C074 

　

　

　 

　 

进一步响应消息：


我小组将继续关注态势进展，在http://www.Antiy.com上发布更加详细的分析报告。

我们将在8月12日北京时间早12：30更新Antiy Ghostbusters病毒库升级包，并在下午1点
发布专杀工具。

红色警告：在RPC漏洞出现时，我们已经在教育网内部发出了警惕病毒编写者，利用该漏洞
的警告，在此后，陆续出现的2个蠕虫，都没有大面积传播，因此尚未引发广泛重视，由于
rpc漏洞的存在可能更为广泛,甚于当年CodeRed利用的IIS漏洞，因此后果可能更为严重。


附：Antiy Labs在8月3日的警告，

根据Antiy Labs Cert小组目前掌握的情况， 已经有至少两种利用7月中旬被公开漏洞的M
S PRC服务漏洞 的蠕虫出现。 其中一种为采用自解压工具制作的DIY蠕虫， 感染后将产生
如下的衍生文件。 

%systemdrive%：rpc.exe rpctest.exe tftpd.exe worm.exe lolx.exe 
%windir%\system32： lolx.exe dcomx.exe 
由于DIY蠕虫传播过程中可能遭到认为修改产生变种， Antiy Labs提醒用户，如果发现类
似异常，请立即 将可疑文件上报 submit@virusview.net 用户将直接获得技术支持。 An
tiy Labs提醒用户，未来数周，利用该漏洞的蠕虫有可能开始 大量出现，用户需要及时利
用windows update安装最新补丁。

　

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 )|)             ●   |江海客      seak@163.net
\-----/               |之天涯看台  seak.163.net
ぺべぺべぺべぺ                             
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 202.118.246.236]