CERNET 网络应急响应组

2012 年 9 月 28 日5860

CCERT 关于 W32.Nachi.Worm 蠕虫公告

影响系统: Windows 2000, Windows XP / Windows 2003 CVE参考 : CAN-2003-0109, CAN-2003-0352 别名：趋势科技 MSBlast.D F-Secure LovSAN.D NAI W32/Nachi.Worm Symantec W32.Welchia.Worm 简单描述：该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞 (漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48) 和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞（漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=28）进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。 ICMP蠕虫感染机器后，会产生大量长度为92字节的ICMP报文，从而导致整个网络不可用。 (ICMP流量增长趋势参见附图)。这些报文的特征如下： xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request 4500 005c 1a8d 0000 7801 85be xxxx xxxx xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa。蠕虫的详细信息：在被感染的机器上蠕虫会做以下操作： 1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe （%system%根据系统不同而不同，win2000为c:\winnt\system32,winxp为c:\windows\system32) 2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe 3、创建RpcTftpd服务，该服务取名Network Connections Sharing，并拷贝 Distributed Transaction Coordinator服务的描述信息给自身。服务的中文描述信息为：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器创建RpcPatch服务，该服务取名WINS Client，并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为：维护网络上计算机的最新列表以及提供这个列表给请求的程序。 4、判断内存中是否有msblaster蠕虫的进程，如果有就杀掉，判断system32目录下有没有msblast.exe 文件，如果有就删除。 5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段，检测这些地址段中存活的主机。 6、一旦发现存活的主机，便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看，通常都是707端口。 7、建立连接后发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，就将tfptd拷贝到%system%\wins\svhost.exe，如果没有，就利用自己建立的tftp服务将文件传过后再拷贝。 8、检测自身的操作系统版本号及server pack的版本号，然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。 9、监测当前的系统日期，如果是2004年，就将自身清除。感染特征： 1、被感染机器中存在如下文件： %SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE %SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE 2、注册表中增加如下子项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch 3、增加两项伪装系统服务： Network Connection Sharing WINS Client 4、监听TFTP端口(69)，以及一个随机端口（常见为707）； 5、发送大量载荷为“aa”，填充长度92字节的icmp报文，大量icmp报文导致网络不可用。 6、大量对135端口的扫描；网络控制方法：如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞下面的协议端口: UDP Port 69, 用于文件下载 TCP Port 135, 微软：DCOM RPC ICMP echo request(type 8) 用于发现活动主机使用IDS检测，规则如下： alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect "; content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference: http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;) 被感染计算机手动删除办法： 1、停止如下两项服务（开始->程序->管理工具->服务）： WINS Client Network Connections Sharing 2、检查、并删除文件: %SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE %SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE 3. 进入注册表（“开始->运行：regedit），删除如下键值： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch 4. 给系统打补丁（否则很快被再次感染） RPC补丁： Windows 2000 Windows XP IIS5.0补丁： Q815021_W2K_sp4_x86_CN.EXE 注：IIS的补丁已经包含在win2k sp4中。更多补丁信息请参见: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp http://www.microsoft.com/technet/security/bulletin/MS03-007.asp 请关注CCERT主页和邮件列表: http://www.ccert.edu.cn advisory@ccert.edu.cn 其他参考信息 1、http://vil.nai.com/vil/content/v_100559.htm 2、http://www.microsoft.com/technet/treeview/default.asp?url= /technet/security/bulletin/MS03-026.asp 3、http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html 附图：