安全公告CN-SA04-23 发布日期：2004-5-12 安全等级：/upload/p1_23xs25.jpg 公开程度：公共 　　5月11日早上，CNCERT/CC注意到一种新蠕虫出现，它利用微软的LSASS漏洞进行传播，并清除“震荡波”和“冲击波”蠕虫。目前这种蠕虫正在互联网中蔓延，我国普遍称之为“震荡波清除者（Worm.Cycle.A）”和“震荡波杀手”。CNCERT/CC对该蠕虫及时地作了分析和监测，发现该蠕虫利用的端口69和3332均有流量。 　　和其他蠕虫一样，此蠕虫也会造成网络堵塞和系统异常重启，传播感染速度也可能会非常快，CNCERT/CC提醒广大网络用户及时采取措施。 　　另外，该蠕虫会在系统时间为5月18日时，对BBCNEWS.COM和IRNA.COM进行拒绝服务攻击。 　　CNCERT/CC将继续密切关注该蠕虫的发展，及时发布有关信息。 分析： 蠕虫感染系统后会做以下操作： 1. 创建下列文档 　　* %Windir%cyclone.txt 　　* %Windir%systemsvchost.exe (一个蠕虫的副本) 　　注意: %Windir% 是一个变量,默认是C:Windows或者C:Winnt。 2. 停止下列进程: 　　* msblast.exe 　　* avserve.exe 　　* avserve2.exe 　　* skynetave.exe 3. 创建下列互斥体（即该蠕虫对如下病毒有免疫能力）: 　　* SkynetSasserVersionWithPingFast 　　* Jobaka3l 　　* JumpallsNlsTillt 　　* Jobaka3 4. 如果系统时间为5月18日，它将DoS攻击www.irna.com 和www.bbcnews.com。 5. 在端口TCP/3332开启后门服务。蠕虫通过此端口接受连接，这个端口开放标志着主机已被感染。 6. 在端口UDP/69上运行一个TFTP服务器，发送蠕虫副本到被感染的主机。 7. 蠕虫对外连接随机产生主机的TCP/445端口，去感染其他的主机。 　　作为感染机制的一部分，蠕虫试图连接到远程电脑的TCP/3332端口来判断其主机是否已被感染。如果连接建立，它将认为该电脑已经被感染并且终止传染。 8. 运行一个远程的shell，其用来从UDP/69端口的TFTP服务器下载蠕虫副本。这样要求一个在运行远程shell的电脑中名为tftp路径的TFTP客户端。下载的文件名称为cyclone.exe。 9. 当下载的文件运行时，可能会修改下面的值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Generic Host Service"="%windir%systemsvchost.exe"和 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun"Generic Host Service"="%windir%systemsvchost.exe" 受影响的平台： 　　 　　Microsoft Windows 2000; 　　Microsoft Windows XP; 　　Microsoft Windows Server 2003; 　　Microsoft Windows NT 4.0 解决方案： 个人用户： 　　1.安装相应的补丁程序 　　2.如果无法及时安装补丁程序，请使用防火墙阻断以下端口的数据连接135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、3332/tcp、69/udp。 网络用户： 　　（以Cisco设备为例）　 　　在边界路由器上添加如下规则阻断445、9996、5554、1023、1022、3332、69端口上的数据 　　access-list 110 deny tcp any any eq 445 　　access-list 110 deny tcp any any eq 9996 　　access-list 110 deny tcp any any eq 5554 　　access-list 110 deny tcp any any eq 1023 　　access-list 110 deny tcp any any eq 1022 　　access-list 110 deny tcp any any eq 3332 　　access-list 110 deny udp any any eq 69 　　注意使用此规则后，可能会影响到Microsoft-DS服务、MCS Mail Server服务、Tftp服务的正常运行。 使用专杀工具清除方法： 　　1.下载专杀工具 　　2.关闭其他应用程序运行专杀工具 手动清除： （1）打开注册表编辑器，删除如下键值 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"Generic Host Service"="%windir%systemsvchost.exe"和 HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun"Generic Host Service"="%windir%systemsvchost.exe" （2）打开任务管理器查看是否存在进程名为: svchost.exe（文件为%WINDIR%systemsvchost.exe）终止它 （3）将%WINDIR%system目录下的文件：svchost.exe删除 注意: %Windir% 是一个变量. 这个蠕虫位于Windows安装文件夹中( 作为默认,是C:Windows或者C:Winnt)并拷贝他们到这些文件夹中。 补丁下载： http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx 参考信息： http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx 相关公告： 　　安全公告CN-SA04-21A 　　安全公告CN-SA04-21B 　　安全公告CN-SA04-21C 　　安全公告CN-SA04-21D 　　安全公告CN-SA04-21E 　　安全公告CN-SA04-21F 　　安全公告CN-SA04-21G 　　安全公告CN-SA04-21H 　　安全公告CN-SA04-21I 　　安全公告CN-SA04-21J 其他信息: 　　CVE编号： CAN-2003-0533 　　首次发布日期：2004-5-12 　　修订次数：0 安全公告文档编写: 　　CNCERT/CC ----------------------------------------------------------------------------------- 　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。 　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网络应急技术处理协调中心：http://www.cert.org.cn/servlet/Incident 　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。 　　如果您发现本公告存在任何问题，请与我们联系：cncert@cert.org.cn