安全公告：CN-SA05-20 发布日期：2005-12-18 安全等级：/upload/p1_23xs25.jpg 公开程度：公共 　　CNCERT/CC的支持单位北京大学狩猎女神项目组（中国蜜网项目组）于12月15日截获一个可利用微软视窗操作系统最新高危漏洞——微软MS05-051传播的名为“黛蛇”（Dasher.B）的蠕虫。该蠕虫主要针对Windows 2000操作系统、部分Windows XP系统和部分WindowsServer2003操作系统，通过攻击TCP/1025端口获得远程执行命令的权限；此外，该蠕虫还可以针对微软MS04-045、MS04-039漏洞或利用SQL溢出工具进行攻击。蠕虫感染成功后将安装键盘记录程序暗中记录用户的按键操作，从而使用户面临泄密的危险。 分析：　 　　Dasher.B蠕虫运行后，会扫描并试图利用漏洞攻击目标主机，目标主机的地址是蠕虫携带的地址列表生成的，多数地址瞄准了中国用户。 　　该蠕虫攻击目标主机成功后，会操纵目标主机自动连接到某控制服务器的53号端口请求黑客指令，然后根据该黑客指令从某个ftp服务器下载并运行一个键盘记录软件和Dasher蠕虫文件包，从而完成传染过程。其中存放恶意代码的ftp服务器的地址是由控制服务器动态指定的。 　　蠕虫从ftp服务器上下载的0.exe文件是可解压缩运行的键盘记录软件，该键盘记录软件会记录用户按键操作，并自动连接某网站下载执行sdbot僵尸程序，以加强对目标主机的控制。下载的1.exe文件经解压缩执行后，在系统目录(C:windowssystem32或C:winntsystem32)下的wins目录释放出6个可执行文件，分别为Sqltob.exe,Sqlscan.exe,Sqlexp.exe, Sqlexp1.exe, Sqlexp2.exe, Sqlexp3.exe。其中： Sqlexp.exe攻击 MS04-045 wins服务漏洞，协议和端口为TCP/42 Sqlexp1.exe攻击 MS05-039 upnp漏洞，协议和端口为TCP/445 Sqlexp2.exe 攻击 MS05-051 msdtc漏洞，协议和端口为TCP/1025 Sqlexp3.exe利用sql hello exploit工具攻击MS SQLServer漏洞，协议和端口为TCP/1433. 　　攻击日志保存在系统目录下的wins目录的result.txt. 　　由于该蠕虫的攻击范围大部分属于中国互联网，所以，中国的户应该倍加防范。 　　目前，CNCERT/CC已经对该蠕虫传播的关键渠道采取了应急处理措施，使得存在漏洞的主机虽然可能被蠕虫攻击，但却无法被进一步感染。但是，鉴于仍有大量感染蠕虫的主机未被恢复，且蠕虫可能会出现变种，因此建议广大用户尽快按照如下解决方案处理。 解决方案： 　　1）手工检查： 　　查看系统上是否存在Sqltob.exe,Sqlscan.exe,Sqlexp.exe, Sqlexp1.exe, Sqlexp2.exe, Sqlexp3.exe文件，如果存在，将进程停止并删除相应文件。 　　2）升级补丁： 　　用户应立刻升级MS05-051、MS04-045、MS04-039补丁程序。 　　补丁下载位置： 　　 　　 　　http://www.microsoft.com/technet/security/Bulletin/MS05-051.mspx 　　 　　http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx 　　 　　http://www.microsoft.com/technet/security/bulletin/MS05-045.mspx 　　漏洞详细信息请参考CNCERT/CC漏洞公告CN-VA05-063，地址： 　　http://www.cert.org.cn/articles/vulnerability/common/2005101222484.shtml 　　3）工具查杀： 　　建议用户安装防病毒软件，并更新到最新版本，然后对系统进行彻底查杀。 　　CNCERT/CC将对该蠕虫的传播情况继续保持监测。 其他信息： 　　CVE编号：CAN-2005-2119 　　首次发布日期： 　　修订次数：0 信息提供者： 　　北京大学狩猎女神项目组（中国蜜网项目组） www.honeynet.org.cn 文档编写： 　　CNCERT/CC ----------------------------------------------------------------------------------- 　　CNCERT/CC在发布安全公告信息之前，都力争保证每条公告的准确性和可靠性。然而，采纳和实施 公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建 议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。 　　在任何情况下，如果您确信您的计算机系统受到危害或是攻击，我们鼓励您及时告知国家计算机网 络应急技术处理协调中心： http://www.cert.org.cn/servlet/Incident 　　同时，我们也鼓励所有计算机与网络安全研究机构，包括厂商和科研院所，向我们报告贵单位所发 现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站公布漏洞信息及指导受影响用户采 取措施以避免损失。 　　如果您发现本公告存在任何问题，请与我们联系： cncert@cert.org.cn