(精品)为自己建房子.ppt

《(精品)为自己建房子.ppt》由会员分享，可在线阅读，更多相关《(精品)为自己建房子.ppt（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Blaster&Welchia病毒专题病毒专题神州泰岳软件股份有限公司神州泰岳软件股份有限公司2003年年9月月10日日Blaster病毒病毒 命名：命名：W32/Lovsan.worm.a McAfee,Win32.Poza.A CA,Lovsan F-Secure,WORM_MSBLAST.A Trend,W32/Blaster-A Sophos,W32/Blaster Panda,Worm.Win32.Lovesan KAV 冲击波冲击波,爆破者爆破者,疾风疾风,流言流言 特征特征2 2感染长度:6,176 bytes2 2受影响的系统:Windows 2000,Windows XP 2

2、 2未受影响的系统:Linux,Macintosh,OS/2,UNIX,Windows 95,Windows 98,Windows Me，Windows NT变种情况变种情况2 2Blaster-A2 2Blaster-B2 2Blaster-C2 2Blaster-D2 2Blaster-E2 2Blaster-F2 2Blaster-G工作过程工作过程2 2自启动技术以及常驻内存检验自启动技术以及常驻内存检验 2 2在运行时，该蠕虫会在注册表中建立如下自启动项目以使在运行时，该蠕虫会在注册表中建立如下自启动项目以使在运行时，该蠕虫会在注册表中建立如下自启动项目以使在运行时，该蠕虫会在注册表

3、中建立如下自启动项目以使得系统启动时自身能得到执行：得系统启动时自身能得到执行：得系统启动时自身能得到执行：得系统启动时自身能得到执行：2 2HKEY_LOCAL_MACHINESOFTWAREMicrosoftWinHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsdowsCurrentVersionCurrentVersionRun,Run,Windows auto update=MSBLAST.EXEWindows auto update=MSBLAST.EXE2 2然后检查自身是否已常驻内存，如果已在内存中运行，则然后检查自身是否已常驻内存，如果已在内

4、存中运行，则然后检查自身是否已常驻内存，如果已在内存中运行，则然后检查自身是否已常驻内存，如果已在内存中运行，则停止继续运行。停止继续运行。停止继续运行。停止继续运行。2 2如果继续运行，则检查当前计算机是否有可用的网络连接。如果继续运行，则检查当前计算机是否有可用的网络连接。如果继续运行，则检查当前计算机是否有可用的网络连接。如果继续运行，则检查当前计算机是否有可用的网络连接。如果没有连接，则休眠如果没有连接，则休眠如果没有连接，则休眠如果没有连接，则休眠1010秒然后再次检查秒然后再次检查秒然后再次检查秒然后再次检查InternetInternet连接。连接。连接。连接。该过程一直持续到一

5、个该过程一直持续到一个该过程一直持续到一个该过程一直持续到一个 Internet Internet 连接被建立。连接被建立。连接被建立。连接被建立。发作情况发作情况2 2分布式拒绝服务攻击分布式拒绝服务攻击 2 2在在在在InternetInternet连接建立的情况下，蠕虫开始检查系统日期，在满足下列连接建立的情况下，蠕虫开始检查系统日期，在满足下列连接建立的情况下，蠕虫开始检查系统日期，在满足下列连接建立的情况下，蠕虫开始检查系统日期，在满足下列日期的情况下蠕虫发送对日期的情况下蠕虫发送对日期的情况下蠕虫发送对日期的情况下蠕虫发送对的分布式拒绝服务攻击的分布式拒绝服务攻击的分布式拒绝服务攻

6、击的分布式拒绝服务攻击:2 2以下月份的以下月份的以下月份的以下月份的1616日至日至日至日至3131日日日日:一月 二月 三月 4月 五月 六月 七月 八月 2 2或是九月至十二月的任意一天或是九月至十二月的任意一天或是九月至十二月的任意一天或是九月至十二月的任意一天 2 2然后，蠕虫开始尝试连接至其他目标系统的然后，蠕虫开始尝试连接至其他目标系统的然后，蠕虫开始尝试连接至其他目标系统的然后，蠕虫开始尝试连接至其他目标系统的135135端口。端口。端口。端口。感染过程感染过程 感染程序 2 2蠕虫感染的第一步会在被感染的系统上打开端口蠕虫感染的第一步会在被感染的系统上打开端口蠕虫感染的第一步

7、会在被感染的系统上打开端口蠕虫感染的第一步会在被感染的系统上打开端口44444444，在，在，在，在这个端口上运行一个远程这个端口上运行一个远程这个端口上运行一个远程这个端口上运行一个远程shellshell。感染源系统建立一个线程。感染源系统建立一个线程。感染源系统建立一个线程。感染源系统建立一个线程模拟模拟模拟模拟Trivial FTPTrivial FTP服务器并在端口服务器并在端口服务器并在端口服务器并在端口6969进行监听。进行监听。进行监听。进行监听。2 2在下一步骤中，感染源将向目标系统发出指令，通过远程在下一步骤中，感染源将向目标系统发出指令，通过远程在下一步骤中，感染源将向目

8、标系统发出指令，通过远程在下一步骤中，感染源将向目标系统发出指令，通过远程shellshell，下载，下载，下载，下载MSBLAST.EXEMSBLAST.EXE。2 2最后，在源系统中的蠕虫发出指令执行目标机器中刚下载最后，在源系统中的蠕虫发出指令执行目标机器中刚下载最后，在源系统中的蠕虫发出指令执行目标机器中刚下载最后，在源系统中的蠕虫发出指令执行目标机器中刚下载的文件，就此蠕虫在远程主机上开始了一个新的生命周期。的文件，就此蠕虫在远程主机上开始了一个新的生命周期。的文件，就此蠕虫在远程主机上开始了一个新的生命周期。的文件，就此蠕虫在远程主机上开始了一个新的生命周期。2 2在本地机器中的蠕

9、虫开始继续寻找下一个感染目标。在本地机器中的蠕虫开始继续寻找下一个感染目标。在本地机器中的蠕虫开始继续寻找下一个感染目标。在本地机器中的蠕虫开始继续寻找下一个感染目标。清除说明清除说明一、手动清除步骤 1 1、终止恶意程序、终止恶意程序 此步骤用于中止内存中运行的恶意程序进程。此步骤用于中止内存中运行的恶意程序进程。此步骤用于中止内存中运行的恶意程序进程。此步骤用于中止内存中运行的恶意程序进程。打开打开打开打开WindowsWindows任务管理器任务管理器任务管理器任务管理器 Windows 95/98/MEWindows 95/98/ME系统系统,按按按按 CTRL+ALT+DELETEC

10、TRL+ALT+DELETE Windows NT/2000/XPWindows NT/2000/XP系统系统,按按按按 CTRL+SHIFT+ESC,CTRL+SHIFT+ESC,然后单击进程选项卡然后单击进程选项卡然后单击进程选项卡然后单击进程选项卡 在运行的程序清单中在运行的程序清单中在运行的程序清单中在运行的程序清单中*,查找如下进程查找如下进程查找如下进程查找如下进程:MSBLAST.EXE MSBLAST.EXE 清除过程清除过程 选择恶意程序进程，然后按选择恶意程序进程，然后按选择恶意程序进程，然后按选择恶意程序进程，然后按“终止任务终止任务终止任务终止任务”或是或是或是或是“中

11、止进程中止进程中止进程中止进程”按钮。按钮。按钮。按钮。为确认恶意程序进程是否中止，请关闭任务管理器并再次打开为确认恶意程序进程是否中止，请关闭任务管理器并再次打开为确认恶意程序进程是否中止，请关闭任务管理器并再次打开为确认恶意程序进程是否中止，请关闭任务管理器并再次打开 关闭任务管理器关闭任务管理器关闭任务管理器关闭任务管理器 2、删除注册表中的自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行 单击单击单击

12、单击 开始开始开始开始 运行运行运行运行,输入输入输入输入 RegeditRegedit,然后按然后按然后按然后按 Enter Enter 键打开注册表管理器键打开注册表管理器键打开注册表管理器键打开注册表管理器 在左边的列表中双击以下项目：在左边的列表中双击以下项目：在左边的列表中双击以下项目：在左边的列表中双击以下项目：HKEY_LOCAL_MACHINESoftwareMicrosoftHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsWindowsCurrentVersionCurrentVersionRun Run 在右边的列表中查找并删除以下项目在

13、右边的列表中查找并删除以下项目在右边的列表中查找并删除以下项目在右边的列表中查找并删除以下项目Windows auto update=MSBLAST.EXE Windows auto update=MSBLAST.EXE 关闭注册表编辑器关闭注册表编辑器关闭注册表编辑器关闭注册表编辑器 注意注意:如果之前没有终止恶意程序进程，请重启您的系统如果之前没有终止恶意程序进程，请重启您的系统如果之前没有终止恶意程序进程，请重启您的系统如果之前没有终止恶意程序进程，请重启您的系统 系统补丁修补系统补丁修补补丁名称：补丁名称：Microsoft Security Bulletin MS03-026需要修补

14、的系统需要修补的系统 Windows NT Windows 2000 Windows XP Windows 2003补丁修补注意事项补丁修补注意事项2 2Windows NT需要需要SP6a2 2Windows 2000需要需要SP2 在在Windows2000中如果实施完补丁后进行中如果实施完补丁后进行了更高了更高SP的修补，则需要重新实施补丁的修补，则需要重新实施补丁清除过程清除过程二、自动清除二、自动清除 使用各个防病毒产品的清除工具使用各个防病毒产品的清除工具Welchia命名：命名：W32/Welchia.worm10240 W32/Welchia.worm10240 AhnLabA

15、hnLab,W32/Nachi.worm McAfee,W32/Nachi.worm McAfee,WORM_MSBLAST.D Trend,WORM_MSBLAST.D Trend,Lovsan.DLovsan.D F-F-Secure,W32/Nachi-A Secure,W32/Nachi-A SophosSophos,Win32.Nachi.A,Win32.Nachi.A CA,Worm.Win32.Welchia KAV CA,Worm.Win32.Welchia KAV 描述描述2 2该变种通常以名为该变种通常以名为DLLHOST.EXE(10,240 字节字节)的文件出现，并且会

16、打开端的文件出现，并且会打开端口口707用于执行其恶意程序行为。用于执行其恶意程序行为。2 2(注意注意:系统文件中也存在一个名为系统文件中也存在一个名为DLLHOST.EXE的文件，但只有的文件，但只有6k字节的字节的大小。大小。)传播传播2 2类似之前的类似之前的类似之前的类似之前的MSBLASTMSBLAST蠕虫，此变种恶意程序也使用了蠕虫，此变种恶意程序也使用了蠕虫，此变种恶意程序也使用了蠕虫，此变种恶意程序也使用了 RPC DCOMRPC DCOM缓冲溢出漏洞，并且向目标系统发送指令通缓冲溢出漏洞，并且向目标系统发送指令通缓冲溢出漏洞，并且向目标系统发送指令通缓冲溢出漏洞，并且向目标

17、系统发送指令通过过过过TFTPTFTP程序从被感染的系统下载其拷贝。有关此漏洞的程序从被感染的系统下载其拷贝。有关此漏洞的程序从被感染的系统下载其拷贝。有关此漏洞的程序从被感染的系统下载其拷贝。有关此漏洞的信息请查询以下微软网页：信息请查询以下微软网页：信息请查询以下微软网页：信息请查询以下微软网页：2 2Microsoft Security Bulletin MS03-026Microsoft Security Bulletin MS03-0262 2同时此蠕虫也使用了同时此蠕虫也使用了同时此蠕虫也使用了同时此蠕虫也使用了WebDAVWebDAV漏洞进行传播。关于此漏洞漏洞进行传播。关于此漏

18、洞漏洞进行传播。关于此漏洞漏洞进行传播。关于此漏洞的补丁信息请查询以下微软网页：的补丁信息请查询以下微软网页：的补丁信息请查询以下微软网页：的补丁信息请查询以下微软网页：2 2Microsoft Bulletin MS03-007Microsoft Bulletin MS03-0072 2同时该蠕虫被设计为修补系统中的同时该蠕虫被设计为修补系统中的同时该蠕虫被设计为修补系统中的同时该蠕虫被设计为修补系统中的RPC DCOMRPC DCOM缓冲溢出缓冲溢出缓冲溢出缓冲溢出漏洞。在执行该行为时，蠕虫会首先检查被感染系统的漏洞。在执行该行为时，蠕虫会首先检查被感染系统的漏洞。在执行该行为时，蠕虫会首

19、先检查被感染系统的漏洞。在执行该行为时，蠕虫会首先检查被感染系统的WindowsWindows操作系统版本。然后，从指定的微软网站下载补操作系统版本。然后，从指定的微软网站下载补操作系统版本。然后，从指定的微软网站下载补操作系统版本。然后，从指定的微软网站下载补丁程序。丁程序。丁程序。丁程序。2 2当当前系统年份为当当前系统年份为当当前系统年份为当当前系统年份为20042004时，蠕虫会将自身从系统中删除。时，蠕虫会将自身从系统中删除。时，蠕虫会将自身从系统中删除。时，蠕虫会将自身从系统中删除。手动清除手动清除2删除恶意程序服务 单击单击单击单击 开始开始开始开始 运行运行运行运行,输入输入输

20、入输入 REGEDIT REGEDIT 并按并按并按并按 Enter Enter 键。键。键。键。在左边的列表中双击以下内容在左边的列表中双击以下内容在左边的列表中双击以下内容在左边的列表中双击以下内容:HKEY_LOCAL_MACHINESYSTEMHKEY_LOCAL_MACHINESYSTEMCurrentCurrentControlSetServicesControlSetServices 仍然在左边的列表中删除以下子键仍然在左边的列表中删除以下子键仍然在左边的列表中删除以下子键仍然在左边的列表中删除以下子键:RpcPatchRpcPatch RpcTftpdRpcTftpd 关闭注册

21、表编辑器关闭注册表编辑器关闭注册表编辑器关闭注册表编辑器 手动清除手动清除2禁用恶意程序服务 此步骤用于删除从内存中删除在此步骤用于删除从内存中删除在此步骤用于删除从内存中删除在此步骤用于删除从内存中删除在Windows NT,Windows NT,2000,2000,以及以及以及以及 XPXP平台上运行的恶意程序服务。平台上运行的恶意程序服务。平台上运行的恶意程序服务。平台上运行的恶意程序服务。单击单击单击单击 开始开始开始开始 运行运行运行运行,输入输入输入输入 CMD CMD 并按并按并按并按 Enter Enter 键。键。键。键。在命令行提示符中输入在命令行提示符中输入在命令行提示符

22、中输入在命令行提示符中输入:NET STOP Network Connections Sharing NET STOP Network Connections Sharing 按按按按 Enter Enter 键。应该会显示一条消息指出服务已被键。应该会显示一条消息指出服务已被键。应该会显示一条消息指出服务已被键。应该会显示一条消息指出服务已被成功停止。成功停止。成功停止。成功停止。重复以上步骤停止以下服务重复以上步骤停止以下服务重复以上步骤停止以下服务重复以上步骤停止以下服务:NET STOP WINS Client NET STOP WINS Client 关闭命令行提示符窗口。关闭命令行

23、提示符窗口。关闭命令行提示符窗口。关闭命令行提示符窗口。修补补丁修补补丁2 2Microsoft Security Bulletin MS03-026 2 2Microsoft Bulletin MS03-007补丁修补说明补丁修补说明2 2Microsoft Bulletin MS03-007在在2000使用使用SP4后不需要后不需要安装扫描工具安装扫描工具2 2工具名称：工具名称：KB823980Scan,MS提供提供2 2The KB823980 scan tool is installed under your Program Files folder,in a subfolder c

24、alled KB823980Scan.使用扫描工具使用扫描工具2 2在在Dos命令行下使用：命令行下使用：2 2E:Program FilesKB823980Scankb823980scan 192.168.0.0/24工具过程描述工具过程描述2 2192.168.0.170:192.168.0.170:unpatchedunpatched2 2192.168.0.176:connection to tcp/135 192.168.0.176:connection to tcp/135 2 2192.168.0.234:patched with KB823980192.168.0.234:pa

25、tched with KB8239802 2 Scan completed Scan completed2 2Statistics:Statistics:2 2 Patched with KB823980 =28 Patched with KB823980 =282 2 UnpatchedUnpatched =1 =12 2 TOTAL HOSTS SCANNED =29 TOTAL HOSTS SCANNED =292 2 Needs Investigation =2 Needs Investigation =22 2 Connection refused =12 Connection re

26、fused =122 2 Host unreachable =211 Host unreachable =2112 2 Errors =2 Errors =22 2 TOTAL HOSTS SKIPPED =227 TOTAL HOSTS SKIPPED =2272 2 TOTAL ADDRESSES SCANNED =256 TOTAL ADDRESSES SCANNED =256扫描结果扫描结果2 2在安装目录下将生成结果文件：在安装目录下将生成结果文件：Vulnerable.txt，文件中包含了含有漏洞的，文件中包含了含有漏洞的主机主机IP地址地址扫描状态说明扫描状态说明错误消息、状态和

27、统计信息说明错误消息、状态和统计信息说明2 2“host unreachable”host unreachable”（主机无法访问）错误消息表明，指定的（主机无法访问）错误消息表明，指定的（主机无法访问）错误消息表明，指定的（主机无法访问）错误消息表明，指定的 Internet Internet 协议协议协议协议 (IP)(IP)地址处不存在主机。另外，可阻止黑洞数据包的防火墙，如地址处不存在主机。另外，可阻止黑洞数据包的防火墙，如地址处不存在主机。另外，可阻止黑洞数据包的防火墙，如地址处不存在主机。另外，可阻止黑洞数据包的防火墙，如 Internet Internet 连连连连接防火墙接防火

28、墙接防火墙接防火墙 (ICF)(ICF)也会返回也会返回也会返回也会返回“host unreachable”host unreachable”错误消息。错误消息。错误消息。错误消息。2 2 2 2“connection to tcp/135 refused”connection to tcp/135 refused”（与（与（与（与 tcp/135 tcp/135 的连接被拒绝）错误消息表明，的连接被拒绝）错误消息表明，的连接被拒绝）错误消息表明，的连接被拒绝）错误消息表明，服务没有侦听服务没有侦听服务没有侦听服务没有侦听 TCP TCP 端口端口端口端口 135 135 或者或者或者或者 T

29、CP TCP 端口端口端口端口 135 135 正被筛选（被正被筛选（被正被筛选（被正被筛选（被 Windows Windows TCP/IP TCP/IP 堆栈或被防火墙或路由器筛选）。堆栈或被防火墙或路由器筛选）。堆栈或被防火墙或路由器筛选）。堆栈或被防火墙或路由器筛选）。2 2 2 2“unpatchedunpatched”（未安装修补程序）状态表明，被扫描的主机是（未安装修补程序）状态表明，被扫描的主机是（未安装修补程序）状态表明，被扫描的主机是（未安装修补程序）状态表明，被扫描的主机是 Windows Windows 主机，主机，主机，主机，但其未安装但其未安装但其未安装但其未安装

30、823980 823980 安全修补程序安全修补程序安全修补程序安全修补程序 (MS03-026)(MS03-026)。2 2“Needs Investigation”Needs Investigation”（需要研究）计数器表明，某些（需要研究）计数器表明，某些（需要研究）计数器表明，某些（需要研究）计数器表明，某些 Internet Internet 协议未能响协议未能响协议未能响协议未能响应应应应 TCP TCP 端口端口端口端口 135 135 上的连接尝试，因此不能扫描安全修补程序。上的连接尝试，因此不能扫描安全修补程序。上的连接尝试，因此不能扫描安全修补程序。上的连接尝试，因此不能扫描安全修补程序。