PSS安全响应组警报-新蠕虫:W32.Blaster.worm



2003年8月15日

级别:严重

受影响产品:Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0 Server, Windows NT 4.0 Terminal Services Edition, Windows NT 4.0 Workstation

更新:微软公司已经发布了一个可以用来扫描网络的工具,来检查系统是否已经安装了MS03-026补丁。有关这个工具的更详细信息请参阅微软知识库826369号文章。这个工具为那些需要安装安全补丁MS03-026,在检查系统方面有困难的企业管理员而设计,MS03-026扫描工具。

它是什么?

Microsoft Product Support Services Security Team(微软产品支持服务安全组)发布这个警报来通知客户,一个名为W32.Blaster.Worm的新蠕虫正在疯狂传播。这个病毒也被称为:W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates)。最佳经验,如安装MS03-026安全补丁可以防止感染这个蠕虫。

发现日期: 2003年8月11日。事先已安装了MS03-026安全补丁的客户受到了保护。要确定自己的计算机现在是否感染了这个病毒,请参阅下面的技术细节。

攻击的影响:

通过开放的RPC端口传播。客户的机器重新启动或在客户的系统中存在 “msblast.exe” 文件。

技术细节:

这个蠕虫在TCP 135端口上扫描随机的IP地址范围以搜索容易攻击的系统。它试图使用MS03-026修补的的DCOM RPC漏洞。

一旦Exploit代码被发送到一个系统,它将通过TFTP从某个远程系统下载和执行MSBLAST.EXE文件。一旦运行,该蠕虫将创建注册表键: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

病毒特征: 某些客户可能根本没有注意到任何的症状。一个典型的症状是在没有用户输入的情况下,系统每隔几分钟重新启动。客户可能还会看到:

  • 存在不同寻常的TFTP*文件
  • 在WINDOWS SYSTEM32目录中存在msblast.exe文件

要检测这个病毒,可以在WINDOWS SYSTEM32目录中查找msblast.exe文件,或者从杀毒软件开发商那里下载最新的杀毒软件,然后对计算机进行扫描。

要了解有关从攻击中恢复的其他信息。请联系自己首选的杀毒软件开发商。请注意这个蠕虫有几个变种,有关这些变种的最新信息可以在自己首选的杀毒软件开发商网站上找到。

恢复:

许多杀毒软件公司已经开发了删除与这个蠕虫相关的已知的exploit代码的工具。要从自己的杀毒软件开发商那里下载删除工具,可以按下列步骤进行。

对于Windows XP

  1. 启用内置的防火墙,如Windows XP中的Internet Connection Firewall (ICF)
    • 从Windows 开始菜单中,运行控制面板。在控制面板中,双击“网络和Internet连接”,然后单击“网络连接”。
    • 在希望启用防火墙的连接上单击鼠标右键,然后点击“属性”。选择的连接将作为用来访问Internet的连接。
    • 在高级选项卡上,选择“保护我的计算机或网络”。现在你的Windows XP防火墙启用了。如果正在运行Windows 2000或 Windows NT 4.0,则需要使用第三方的防火墙产品。
  2. 下载MS03-026安全补丁程序:
  3. 安装或更新自己的杀毒签名软件。查找下面直接指向微软病毒信息联盟(Microsoft Virus Information Alliance,VIA)合作伙伴的链接,或访问自己的杀毒软件开发商的网站。你还会发现直接指向用于这个蠕虫的删除工具的链接。

对于Windows 2000系统

没有Internet Connection Firewall (ICF),下面的步骤将帮助封锁受感染的端口,以便系统可以安装补丁程序。这些步骤是在文章:HOW TO: Configure TCP/IP Filtering in Windows 2000(在Windows 2000中如何配置TCP/IP过滤)的基础上修改摘录完成的。

  1. 在Windows 2000上配置TCP/IP安全性:
    • 在控制面板中选择“网络和拨号连接”。
    • 在用来访问Internet的接口上点击鼠标右键,然后点击“属性”。
    • 在“此连接使用下列选定的组件”框中,点击“Internet Protocol (TCP/IP)”,然后点击“属性”。
    • 在Internet Protocol (TCP/IP)属性对话框中,点击“高级”。
    • 点击“选项”选项卡。
    • 点击“TCP/IP筛选”,然后点击“属性”。
    • 选择“启用TCP/IP筛选(所有适配器)”复选框。
    • 有三列,标签分别为: TCP端口、UDP端口、IP端口
    • 在每一列中,必须选择“只允许”选项。
    • 点击“确定”。
  2. 下载用于Windows 2000的MS03-026安全补丁程序
  3. 安装或更新自己的杀毒签名软件。查找下面直接指向微软病毒信息联盟(Microsoft Virus Information Alliance,VIA)合作伙伴的链接,或访问自己的杀毒软件开发商的网站。你还会发现直接指向用于这个蠕虫的删除工具的链接。

安装或更新

要从参与微软病毒信息联盟(Microsoft Virus Information Alliance,VIA)的杀毒软件合作伙伴那里了解有关这个蠕虫的其他详细信息,请访问下列链接:

要了解有关微软病毒信息联盟的更多信息,请访问下列链接: http://www.microsoft.com/technet/security/virus/via.asp

要从参与微软病毒信息联盟(Microsoft Virus Information Alliance,VIA)的杀毒软件合作伙伴那里了解有关清除工具的信息,请访问下列链接:

如果你的杀毒软件开发商没有加入微软病毒信息联盟(Microsoft Virus Information Alliance,VIA),请访问他们的网站,因为大部分杀毒软件开发商都为他们的客户提供了清除工具。

请联系自己的杀毒软件开发商以了解有关这个病毒的其他详细信息。

预防:

打开Internet Connection Firewall(Internet连接防火墙) (Windows XP或Windows Server 2003)或使用第三方的防火墙来封锁TCP端口135, 139, 445和593;UDP端口135, 137,138;以及用于远程命令的UDP 69 (TFTP) 和TCP 4444。如何在Windows中启用Internet连接防火墙,请参阅:http://support.microsoft.com/?id=283673

  • 在控制模板中,双击“网络和Internet连接”,然后点击“网络连接”。
  • 在需要启用Internet连接防火墙的连接上单击鼠标右键,然后点击“属性”。
  • 在“高级”选项卡上,单击选择“保护我的计算机或网络”。

这个蠕虫使用了先前公布的漏洞作为其传染方法的一部分。因此,客户必须确保他们的计算机修补了微软安全公告MS03-026中识别的漏洞。为了给客户提供帮助,微软公司发布了一个工具,它可以用来对网络进行扫描以确定现有的系统是否已经安装了MS03-026补丁程序。微软知识库826369号文章中提供了关于这个工具的更多细节。

从Microsoft Update中安装MS03-026补丁程序:

像通常一样,请确保使用自己的杀毒软件开发商提供的最新的检测工具,以检查是否有新的病毒及其变种。

相关的知识库文章: http://support.microsoft.com/?kbid=826955

相关的微软安全公告: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

相关链接: http://www.microsoft.com/security/incident/blast.asp

如果你对这个警报有任何问题,请联系你的微软代表或被打电话1-866-727-2338 (1-866-PCSafety) (美国),美国以外请联系当地的微软分支机构。

PSS安全响应组(PSS Security Response Team )