安全公告CN-SA04-27A
发布日期:2004-5-25
安全等级:![]()
/upload/p1_23xs25.jpg
公开程度:公共
高波蠕虫,国际通称为Gaobot或Agobot。起初,高波蠕虫通过IRC、开放网络共享、文件共享网络传播,也可通过Mydoom蠕虫家族所安装的后门进行传播。自2002年11月发现以来,已经出现数百个不同类型的变种。伴随着新的系统漏洞的出现,该蠕虫的变种也在不断增加。
微软MS04-011公告发布以后,利用LSASS漏洞的高波蠕虫变种于2004年4月29日首次被发现。接着,又出现了一系列利用LSASS漏洞的新变种。
W32.Gaobot.AFC
W32.Gaobot.AFJ
W32.Gaobot.AFW
W32.Gaobot.AJD
W32.Gaobot.AJE
W32.Gaobot.AJJ
W32.Gaobot.AIS
W32.Gaobot.ALO
W32.Gaobot.ALU
(以上为Symantec的名称)
这些新变种的共同特点是,均可通过开放网络共享和若干Windows漏洞进行传播。所利用的Windows漏洞是:
• DCOM RPC漏洞(微软安全公告MS03-026中介绍),利用TCP 135端口;
• WebDav漏洞(微软安全公告MS03-007中介绍),利用TCP 80端口;
• 工作站服务缓冲溢出漏洞(微软安全公告MS03-049中介绍),利用TCP 445端口,Windows XP用户不受此漏洞影响,但Windows 2000用户必须实施MS03-049公告的安全措施;
• UpnP漏洞(微软安全公告MS01-059中介绍);
• 微软SQL Server 2000或MSDE 2000审计中的漏洞(微软安全公告MS02-061中介绍) ,利用UDP 1434端口;
• LSASS远程缓冲溢出漏洞(微软安全公告MS04-011中介绍)。
而且,这些新变种还通过贝革热(Beagle)和Mydoom蠕虫所安装的后门以及Optix后门家族进行传播。同时,也可作为新的后门服务程序攻击其它系统。另外,它们也会试图关闭很多防病毒或其它安全软件的进程。
CNCERT/CC已对该蠕虫作了分析并开始持续监测。
分析:
一台电脑如果被蠕虫攻击,会有类似下图的情况发生:
![]()
/upload/p1_B453Xe.jpg
这些蠕虫有作为后门服务器攻击其他系统的能力。他们企图删除所有的防病毒或其它安全程序的进程。它们同时也在系统主机文件中加入了常见的防病毒及安全软件的列表,来定位IP地址,所以它们还可以防止用户访问列表中的网站。·它们还能偷取Windows产品的ID以及一些游戏的注册号。
此外,它们还发送给下面主机一些含有大量数据的HTTP POST 消息(大约250KB一个消息):
www.ryan1918.net
www.ryan1918.org
www.ryan1918.com
yahoo.co.jp
www.nifty.com
www.d1asia.com
www.st.lib.keio.ac.jp
www.lib.nthu.edu.tw
www.above.net
www.level3.com
nitro.ucsc.edu
www.burst.net
www.cogentco.com
www.rit.edu
www.nocster.com
www.verio.com
www.stanford.edu
www.xo.net
de.yahoo.com
www.belwue.de
www.switch.ch
www.1und1.deverio.fr
www.utwente.nl
www.schlund.net
当然它们之间也有细微的差别。其差别分述如下:
W32.Gaobot.AFC
将其自身复制为wmiprvsw.exe并且在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“System Updater Service = wmiprvsw.exe”
W32.Gaobot.AFJ
可能拷贝自身为下列文件之一:
msiwin84.exe
Microsoft.exe
WinMsrv32.exe
soundcontrl.exe
msawindows.exe
并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices中加入如下键值:
“Microsoft Update = msiwin84.exe”
“Microsoft Update = Microsoft.exe”
“WinMsrv32 = WinMsrv32.exe”
“soundcontrl = soundcontrl.exe”
“Microsoft Update = msawindows.exe”
W32.Gaobot.AFW
拷贝其自身为hkey.exe并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“windows = hkey.exe”
W32.Gaobot.AJD
拷贝其自身为wauclt.exe并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“Automated Windows Updates = wauclt.exe”
W32.Gaobot.AJE
拷贝其自身为norton.exe并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“System Service Manager = norton.exe”
W32.Gaobot.AJJ
拷贝其自身为LSMAS.exe并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“LSMAS.exe”
W32.Gaobot.AIS
拷贝其自身为netsvacs.exe并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“Network Services = netsvacs.exe”
W32.Gaobot.ALO
拷贝其自身为sysconf.exe并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“Video Process = sysconf.exe”
W32.Gaobot.ALU
拷贝其自身为svhost.exe并在注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 中加入键值:
“Windows Security Manager = svhost.exe”
受影响的平台:
Microsoft windows NT4
Microsoft windows 2000
Microsoft windows XP
Microsoft windows Server 2003
解决方案:
Windows XP用户
1.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
2.键入“cmd”,然后单击“确定”。
3.在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
Windows 2000用户
1.从其他使用Windows XP的系统中拷贝shutdown.exe到被感染机器的c盘根目录下。
2.在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
3.键入“cmd”,然后单击“确定”。
4.在命令提示符下,键入“c:shutdown.exe -a”,然后按 ENTER。
检查位于%System%driversetc的主机文件。
注意:%Sytem%是个根据系统而定的变量,C:WinntSystem32driversetc (Windows NT/2000/2003),或者C:WindowsSystem32driversetc (Windows XP)。
使用记事簿打开HOSTS 文件。删除除“127.0.0.1 localhost”以外所有的行。存储并关闭。
在链接http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml下载并为系统安装针对LSASS 漏洞的补丁。
检查和清除已经进入本机的蠕虫。我们推荐您请首先使用杀毒工具进行杀毒。可以尝试使用防病毒软件厂商网站上提供的免费专杀工具。
补丁下载:
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
参考信息:
http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml
http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
信息提供者:
HKCERT/CC
其他信息:
CVE编号: CAN-2003-0533 CAN-2003-0352
首次发布日期:2004-5-25
修订次数:0
安全公告文档编写:
CNCERT/CC
-----------------------------------------------------------------------------------
CNCERT/CC在发布安全公告信息之前,都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。
在任何情况下,如果您确信您的计算机系统受到危害或是攻击,我们鼓励您及时告知国家计算机网络应急技术处理协调中心:http://www.cert.org.cn/servlet/Incident
同时,我们也鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采取措施以避免损失。
如果您发现本公告存在任何问题,请与我们联系:cncert@cert.org.cn
