|
|
转一篇文章:
CCERT关于Dvldr32 蠕虫防范的紧急公告
中国教育和科研计算机网紧急响应组(CCERT)
2003年3月7日以来,一种破坏力很强的蠕虫(暂且以攻击程序的名字命名为Dvldr32 蠕虫)在网络上传播,控制了大量口令设置不安全的Windows系统,对网络造成了很大破坏。 目前主要的网络运行商已经在网络上对其传播途径进行了控制,但是,被感染的系统、可能被感染的系统仍然大量存在,而且类似的蠕虫攻击有可能再度发生,有必要引起进一步的关注。
1. 易受感染的系统
Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.
2.蠕虫利用系统漏洞
弱口令,比较典型的是管理员(administrator)口令为空
3.主要危害
计算机感染Dvldr32蠕虫后,定期的随机选择两个C类地址进行扫描(TCP 445端口),如果目标机器上存在弱口令账号(如:administrator账号口令为空),蠕虫便会利用该账号将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门(TCP 5800,TCP 5900),并通过互联网聊天协议(IRC,TCP 目标端口6667)与境外的服务器进行通信。
该蠕虫的扫描和传播可能造成网络严重拥塞,主要表现为大量 TCP 445端口的扫描、TCP 6667端口的通信。另外,网络流量监测结果表明IP协议字段为 255( IP 头标的第9个字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。
4. 计算机用户的检测手段
如果出现以下特征之一,可以认为系统已经被感染:
(1)如果你的管理员口令为空或者容易猜测的口令,那么你的计算机系统可能已经被感染了,或者很容易受到感染;
(2)登录计算机系统,执行netstat -an命令,如果出现大量对外6667端口的TCP连接,或者正在监听TCP 5800和5900端口,那么你的系统可能被感染了,如下所示:
C:\>netstat.exe -n
Active Connections
Proto Local Address Foreign Address State
TCP x.x.x.x:1043 149.156.91.2:6667 CLOSE_WAIT
TCP x.x.x.x:1045 198.65.147.245:6667 CLOSE_WAIT
……
TCP x.x.x.x:4811 198.65.147.245:6667 CLOSE_WAIT
TCP x.x.x.x:4887 149.156.91.2:6667 CLOSE_WAIT
(3)如果系统目录下出现了以下文件,那么你的系统可能被感染了:
C:\> dir /O:D winnt\system32
C:\winnt\system32 的目录
...
2003-03-07 02:23 745,984 Dvldr32.exe
2003-03-08 19:53 61,440 PSEXESVC.EXE
2003-03-08 22:38 684,562 inst.exe
2003-03-08 22:38 36,352 psexec.exe
C:\>dir winnt\fonts /O:D
......
2002-11-06 17:07 212,992 explorer.exe
2002-11-06 17:58 29,336 rundll32.exe
(4)检查注册表, 如果增加了如下键值,则你的系统已经被感染了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
"messnger"="C:\\WINNT\\system32\\Dvldr32.exe"
5. 计算机用户的控制手段
(1)为 administrator 设定安全的口令,检查其他所有用户口令的安全性;
(2)终止名为dvldr32.exe 和rundll32.exe 的进程;
(3)删除 以下文件(%windir%是windows nt/2000的根目录,比如c:\winnt):
%windir%\system32\dvldr32.exe
%windir%\fonts\explorer.exe
%windir%\fonts\omnithread_rt.dll
%windir%\fonts\VNCHooks.dll
%windir%\fonts\rundll32.exe
%windir%\system32\cygwin1.dll
%windir%\system32\ INST.exe
(4)清理注册表,删除3(4)中所提到的注册表中的键值
(5)重新启动计算机
为防止类似事件发生,我们向Windows 用户或系统管理员建议以下最基本的安全措施:
(1)为操作系统安装最新的补丁;
(2)为所有用户选择安全的、不用易猜测的口令;
(3)安装防病毒软件,并及时更新病毒定义码(最好每天一次)。
6. 网络管理员的检测手段
如果你管理的网络出现了以下现象,那么网络中可能有计算机系统受感染了
(1)网络性能显著下降;
(2)用流量分析工具(比如Unix平台的tcpdump 、Windows 平台的Sniffer pro),
可以看到从网络内部发起的大量目标端口为445、6667的TCP 数据包;
(3)用端口扫描软件(比如Linux 平台的nmap),扫描你所管理的网络,如果有的
计算机同时打开了TCP 445 、5800、5900端口,则该计算机系统可能被感染了。
7. 网络管理员的控制手段
在边界路由器或防火墙上配置访问控制规则,可以控制蠕虫传播的途径,起到保护内部网络、控制被感染系统扩散的目的。
例如,可以在cisco 路由器上的配置如下访问控制表:
access-list 110 deny tcp any any eq 445
! 用于控制蠕虫的扫描和感染;
access-list 110 deny tcp any any eq 5800
access-list 110 deny tcp any any eq 5900
! 用于防止受感染的系统被远程控制
access-list 110 deny tcp any any eq 6667
! 用于控制 受感染的系统与聊天服务器的通信
access-list 110 deny udp any any eq 1434
! 用于控制 Slammer worm
access-list 110 deny 255 any any
access-list 110 deny 0 any any
! 用于控制 IP Protocol 为255 和0 的流量
access-list 110 permit ip any any |
|
IP卡
狗仔卡
发表于 2006-9-22 22:41
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
