W32.Blaster.Worm

W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]

6,176 bytes

Windows 2000, Windows NT, Windows Server 2003, Windows XP

CAN-2003-0352

根據 Symantec's DeepSight Threat Management 的報告和客戶所提報的件數，賽門鐵克安全回響已經將此威脅由等級 3 提升至等級 4。

W32.Blaster.Worm 通過 TCP 連線埠 135 利用 DCOM RPC 漏洞 ( 更多有關此漏洞的信息請參見 Microsoft Security Bulletin MS03-026)。該蠕蟲的目標僅為 Windows 2000 和 Windows XP 計算機。但如果 Windows NT 和 Windows 2003 Server 計算機沒有安裝正確的修補程式，也容易受到利用上述漏洞的蠕蟲的攻擊，但是蠕蟲並未編寫為複製到這些系統的代碼。此蠕蟲試圖下載 Msblast.exe 檔案，並將其複製到 %WinDir%\System32 資料夾，然後執行該檔案。此蠕蟲不具有任何群發郵件功能。

建議用戶通過防火牆禁止對 4444 連線埠的訪問，如果下列連線埠上不是在運行所列應用程式，請也禁止對這些連線埠的訪問。

* TCP Port 135, "DCOM RPC"

* UDP Port 69, "TFTP"

更多關於此漏洞的信息，以及哪個賽門鐵克產品能紓解此漏洞造成的風險，請單擊這裡。

這個威脅可被以下病毒定義檔案偵測：

* 定義版本：50811s

* 順序編號：24254

* 擴展版本：8/11/2003, rev. 19

賽門鐵克安全回響已開發出可清除 W32.Blaster.Worm 感染的防毒工具。

W32.Blaster.Worm Webcast

下列 Webcast 已經公布，其中討論了緩解和補救策略，並提供了 DoS 攻擊的詳細描述：

http://enterprisesecuritycontent/webcastinfo.cfm?webcastid=63

* 病毒定義（每周 LiveUpdate™） 2003 年 8 月 11 日

* 病毒定義（智慧型更新程式） 2003 年 8 月 11 日

威脅評估

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： High

* 威脅抑制： Moderate

* 清除： Moderate

* 損壞級別： Medium

* 有效負載觸發器： If the date is the 16th of the month until the end of that month if it's before August, and every day from August 16 until December 31.

* 有效負載： Performs Denial of Service against

* 導致系統不穩定： May cause machines to crash.

* 危及安全設定： Opens a hidden remote cmd.exe shell.

* 分發級別： Medium

* 連線埠： TCP 135, TCP 4444, UDP 69

* 感染目標： Machines with vulnerable DCOM RPC Services running.

如果執行 W32.Blaster.Worm，它會進行以下動作：

1. 建立一個名為 BILLY 的互斥體（Mutex）。如果這個互斥體已經存在，蠕蟲會退出。

2. 新增下列值：

"windows auto update"="msblast.exe"

加入註冊鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此，當您啟動 Windows 時，蠕蟲都會執行。

3. 計算出一個 IP 地址然後試圖感染擁有此地址的計算機。IP 地址的算法如下：

* 40% 情況下，算出的 IP 地址格式為 A.B.C.0，其中 A 和 B 與被感染計算機的 IP 地址的前兩部分相同。

C 是根據被感染計算機 IP 地址的第三部分算出的，但 40% 情況下，算出的 IP 地址格式為 如果 C 大於 20，一個小於 20 的隨機值會從 C 減除。計算出 IP 地址後，蠕蟲將試圖找到具有該 IP 地址 A.B.C.0 的計算機，並利用其中的漏洞。

然後蠕蟲將以 1 的步長遞增 IP 地址的 0 部分，試圖根據新的 IP 地址找到並利用其他計算機，直至達到 254。

* 生成的 IP 地址有 60% 的可能是完全隨機的。

4. 在 TCP 連線埠 135 上傳送可能利用 DCOM RPC 漏洞的數據。蠕蟲傳送以下兩種類型的數據之一：一種是利用 Windows XP 的數據，一種是利用 Windows 2000 的數據。在 80% 的情況下，傳送的是 Windows XP 數據，在 20% 的情況下，傳送的是 Windows 2000 數據。

注意：

* 本地子網將充斥著連線埠 135 請求。

* 由於蠕蟲構造漏洞數據的方式具有隨機性，因此如果它傳送了不正確的數據，可能導致計算機崩潰。

* 儘管 W32.Blaster.Worm 不會傳播到 Windows NT 或 Windows 2003 Server，但如果運行這些作業系統的計算機沒有安裝補丁程式，則蠕蟲利用它們就可能導致它們崩潰。然而，如果手動將蠕蟲放置到運行這些作業系統的計算機上並執行它們，蠕蟲也可以運行並傳播。

* 如果 RPC 服務崩潰，Windows XP 和 Windows Server 2003 下的默認過程是重新啟動計算機。要禁用此功能，請參閱下面相應的防毒指導中的步驟。

5. 使用 Cmd.exe 創建隱藏的遠程 shell 進程，該進程將偵聽 TCP 連線埠 4444，從而允許攻擊者在受感染系統上發出遠程命令。

6. 偵聽 UDP 連線埠 69。當蠕蟲收到來自它能夠利用 DCOM RPC 漏洞進行連線的計算機的請求時，會向該計算機傳送 msblast.exe，並指示該計算機執行蠕蟲。

7. 如果當前日期是一月份到八月份的 16 日到月底之間，或者當前月份是九月到十二月，蠕蟲將試圖對 Windows Update 執行 DoS 攻擊。然而，只有在滿足下列條件之一的情況下，執行 DoS 攻擊的企圖才會成功：

* 蠕蟲運行所在的 Windows XP 計算機在有效載荷期間被感染或重新啟動。

* 蠕蟲運行所在的 Windows 2000 計算機在有效載荷期間被感染，並且自從感染後沒有重新啟動。受到感染後已重新啟動，並且當前登錄的用戶是 Administrator。

8. DoS 通信具有以下特徵：

* 是在連線埠 80 上對 SYN 泛濫攻擊。

* 每秒鐘試圖傳送 50 個 RPC 包和 50 個 HTTP 包。

* 每個包的長度為 40 個位元組。

* 如果在 DNS 里找不到蠕蟲會使用 255.255.255.255 作為目標地址。

9. TCP 和 IP 頭的部分固定特徵如下：

* IP 標識 = 256

* 生存時間 = 128

* 源 IP 地址 = a.b.x.y，其中 a.b 來自主機 ip，x.y 是隨機值。在某些情況下，a.b 也是隨機值。

* TCP 源連線埠介於 1000 和 1999 之間

* TCP 目標連線埠 = 80

* TCP 序列號的兩個低位始終設定為 0，兩個高位是隨機值。

* TCP 視窗大小 = 16384

蠕蟲含有如下文字，但永遠不會顯示出來：

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ?Stop making money and fix your software!!

緩解 DoS 有效載荷

自 2003 年 8 月 15 日起，Microsoft 已經刪除了DNS 記錄。但儘管蠕蟲的 DoS 部分不會影響 Microsoft 的 Windows Update 功能，網路管理員還是可以採取下列建議以緩解 DoS 有效載荷：

* 重新路由到特殊的內部 IP 地址：如果有伺服器偵聽並捕獲到 SYN 泛濫攻擊，這將警告您計算機受到感染。

* 在路由器上配置防欺騙規則（如果尚未實施此過程）：這將防止匹配率較高的數據包離開網路。使用 uRPF 或 egress ACL 將有效。

Symantec Client Security

2003 年 8 月 15 日，Symantec 通過 LiveUpdate 發布了 IDS 特徵以檢測 W32.Blaster.Worm 活動。

Symantec Gateway Security

* 2003 年 8 月 12 日，Symantec 發布了 Symantec Gateway Security 1.0 的更新。

* Symantec 的應用程式完全檢查防火牆技術可以有效防禦這個 Microsoft 安全漏洞，在默認情況下禁止所有上述連線埠。為獲得最高的安全性，第三代應用程式完全檢查技術有效禁止了利用 HTTP 信道的 DCOM 通訊通道（tunneling of DCOM traffic over HTTP channels），提供了其它最常見的網路過濾防火牆尚未提供的額外一層防護。

Symantec Host IDS

2003 年 8 月 12 日，Symantec 發布了 Symantec Host IDS 4.1 的更新。

Intruder Alert

2003 年 8 月 12 日，Symantec 發布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。

Symantec Enterprise Firewall

Symantec 完整的應用程式檢查防火牆技術可抵禦 W32.Blaster.worm，默認情況下會禁止上面列出的所有 TCP 連線埠。

Symantec ManHunt

* Symantec ManHunt 協定異常檢測技術將與利用此漏洞相關聯的活動檢測為“連線埠掃描”。儘管 ManHunt 可以使用協定異常檢測技術檢測與利用此漏洞相關聯的活動，但您也可以使用在 Security Update 4 中發布的“Microsoft DCOM RPC Buffer Overflow”自定義特徵來精確地識別所傳送的漏洞利用數據。

* Security Update 5 發布了特別針對 W32.Blaster.Worm 的簽名以偵測 W32.Blaster.Worm 的更多特徵。

* Symantec ManHunt 協定異常檢測技術可以檢測到與 DoS SYN 泛濫攻擊相關聯的活動。安全回響中心已經為 ManHunt 3.0 創建了自定義的特徵，並發布在 Security Update 6 中，用於將此攻擊專門檢測為 Blaster DDoS 請求。

Enterprise Security Manager

Symantec 安全回響中心於 2003 年 7 月 17 日發布了針對此漏洞的回響策略。

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Blaster.Worm 移除工具來移除蠕蟲

除了使用防毒工具，還可以手動消除此威脅。以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 還原 Internet 連線。

2. 終止蠕蟲進程。

3. 獲得最新的病毒定義。

4. 掃描和刪除受感染檔案。

5. 撤消對註冊表所做的更改。

6. 獲得 Microsoft 熱修復工具以修復 DCOM RPC 漏洞。

有關詳細信息，請參閱下列指導：

1. 還原 Internet 連線

在很多情況下，不管是在 Windows 2000 還是在 XP 上，更改 Remote Call Procedure (RPC) 服務的設定可能允許您連線到 Internet，而不會關閉計算機。要還原 PC 的 Internet 連線，請執行下列操作：

1. 單擊“開始”>“運行”。出現“運行”對話框。

2. 鍵入：

SERVICES.MSC /S

然後單擊“確定”。“服務”視窗出現。

3. 在右窗格中，找到 Remote Procedure Call (RPC) 服務。

警告：還有一個名為 Remote Procedure Call (RPC) Locator 的服務。請不要混淆這兩個服務。

4. 用滑鼠右鍵單擊 Remote Procedure Call (RPC) 服務，然後單擊“屬性”。

5. 單擊“故障恢復”選項卡。

6. 使用下拉列表，將“第一次失敗”、“第二次失敗”和“後續失敗”更改為“重新啟動服務”。

7. 單擊“套用”，然後單擊“確定”。

警告：殺除蠕蟲後，請務必將這些設定更改回原來的值。

2. 結束蠕蟲程式

1. 按一次 Ctrl+Alt+Delete。

2. 單擊“任務管理器”。

3. 單擊“處理程式”卷標。

4. 連按兩下“影像名稱”欄位標頭以便以英文字母順序進行排序。

5. 瀏覽一下清單並尋找 msblast.exe。

6. 如果您找到該檔案，單擊它並單擊“結束處理程式”。

7. 結束“任務管理器”。

3. 更新病毒定義檔案

Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：

對於較新的計算機用戶

運行 LiveUpdate，這是獲得病毒定義最簡便的方法：針對 W32.Blaster.worm 的病毒定義在 2003 年 8 月 11 日之後即可通過 LiveUpdate 伺服器獲得。要獲得最新的病毒定義，請在您的 Symantec 產品的主用戶界面中單擊 LiveUpdate 按鈕。運行 LiveUpdate 時，請確保只選中“Norton AntiVirus 病毒定義”。可以在稍後獲得產品更新。

使用智慧型更新程式下載定義：“智慧型更新程式”病毒定義在美國工作日發布（周一至周五）。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可通過智慧型更新程式獲得用於該威脅的定義，請參考病毒定義（智慧型更新程式）。

有關獲得“智慧型更新程式”病毒定義的詳細指導，請閱讀文檔：如何使用智慧型更新程式更新病毒定義檔案。。

4. 掃描並刪除受感染的檔案

1. 啟動您的賽門鐵克防毒程式，確定已架構為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 執行完整系統掃描。

3. 如果偵測到任何受 W32.Blaster.Worm 感染的檔案，請單擊“刪除”。

5. 恢復對註冊鍵所做的變更

警告：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的鍵。如需詳細指示，請閱讀“如何備份 Windows 註冊表”檔案。

1. 單擊“開始”，然後單擊“執行”。（將出現“運行”對話框。）

2. 鍵入 regedit，然後單擊“確定”。（將打開註冊表編輯器。）

3. 跳到這個鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

4. 刪除右邊窗格中的值：

windows auto update

5. 結束並離開註冊表編輯器。

6. 獲得 Microsoft 熱修復工具以修復 DCOM RPC 漏洞

W32.Blaster.Worm 是一種通過 TCP 連線埠 135，利用 DCOM RPC 漏洞感染 PC 的蠕蟲。W32.Blaster.Worm 還會試圖使用您的 PC 對 Microsoft Windows Update Web 伺服器 執行 DoS 攻擊。要修復此漏洞，請從 Microsoft Security Bulletin MS03-026 獲得 Microsoft 熱修復工具，這點很重要。

描述者： Douglas Knowles, Frederic Perr