安全公告CN-SA04-22A 发布日期：2004-5-12 安全等级：/upload/p1_23xs25.jpg 公开程度：公共 　　CNCERT/CC获知某个国外黑客组织在"震荡波"蠕虫病毒程序中挖掘出了ftpd缓冲区溢出漏洞，并且已经将利用此漏洞的攻击代码发布在公众网站上，由此很可能导致一些蠕虫病毒制造者利用此漏洞编写出新型蠕虫病毒，再次发动比"震荡波"蠕虫病毒更强烈的新一轮攻击。 　　众所周知"震荡波"蠕虫病毒以及其变种在感染计算机系统后，都会打开5554端口（A、B、C、D、F型）或1023端口（E型），并且建立ftpd服务以保证病毒程序传播，由于此"震荡波"蠕虫病毒程序自身存在可被利用的漏洞，在用户打上微软公司提供的安全补丁（MS04-011）后，虽然"震荡波"蠕虫病毒不再发作，但是即将诞生的新型蠕虫依旧会使用"震荡波"蠕虫已经打开的TCP 5554端口或TCP 1023端口，进行病毒传播，甚至夺取该系统的控制权限。 　　虽然目前还不能预知此新型蠕虫病毒发作时的危害程度，但是预计新型蠕虫病毒传播的隐蔽性非常高，甚至在未有先兆的情况下夺取系统控制权限而造成巨大破坏。 　　CNCERT/CC提醒广大用户注意：即使已经为计算机系统安装了MS04-011补丁程序，也需要彻底清查是否有未曾发作的"震荡波"蠕虫病毒体存在，是否已经关闭了前期被"震荡波"蠕虫打开的TCP 5554端口或TCP 1023端口，以防止即将诞生的新型蠕虫病毒的感染。 　　CNCERT/CC也将继续密切关注该事件的发展，及时发布相关信息。 受影响的平台： 　　感染过Worm.Sasser-A、B、C、D、E、F变种蠕虫且没有彻底清除的系统 解决方案： 　　CNCERT/CC编辑整理了一份《计算机用户如何对付“震荡波”蠕虫》的文章供用户参考，帮助受感染用户进行正确处理和恢复操作。网址是：http://www.cert.org.cn/articles/alert/common/2004050821640.shtml 参考信息： http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 信息提供者： 　　启明星辰信息技术有限公司 相关公告： 　　安全公告CN-SA04-21A 　　安全公告CN-SA04-21B 　　安全公告CN-SA04-21C 　　安全公告CN-SA04-21D 　　安全公告CN-SA04-21E 　　安全公告CN-SA04-21F 　　安全公告CN-SA04-21G 　　安全公告CN-SA04-21H 　　安全公告CN-SA04-21I 其他信息： 　　CVE编号： 　　首次发布日期：2004-5-12 　　修订次数：0 安全公告文档编写: 　　CNCERT/CC ----------------------------------------------------------------------------------- 　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。 　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident 　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。 　　如果您发现本公告存在任何问题，请与我们联系：cncert@cert.org.cn