CCERT关于W32.Blaster.Worm蠕虫的公告

影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考: CAN-2003-0352
McAfee 命名为：W32/Lovsan.worm

简单描述：
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫，传播能力很强。 详细描述请参照Microsoft Security Bulletin MS03-026 (http://www.microsoft.com/technet/security/bulletin/MS03-026.asp) 感染蠕虫可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是TCP/135, 传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe. 这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您 及时地得到这个漏洞的补丁

详细信息：
当 W32.Blaster蠕虫被执行时, 他将做以下操作:

1、创建一个名为BILLY的互斥体. 如果这个互斥体存在, 这个蠕虫将放弃感染并退出.

2、在注册表中添加下列件值:

"windows auto update"="msblast.exe"

并且将其添加至:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这样就可以使蠕虫在系统被重起的时候能够自动运行.

3、这个蠕虫利用下面这种方法计算感染的IP地址列表（40%机会）:

待感染的IP地址: A.B.C.D

设置 D 等于 0.

如果 C > 20, 则减去一个小于20的随机数.

一旦这个IP地址列表产生，蠕虫将尝试去感染这个（A.B.C.0）列表中的计算机.

NOTE: This means the Local Subnet will become saturated with port 135
requests prior to exiting the local subnet.

这个蠕虫利用下面这种方法计算感染的IP地址列表（60%机会）:

待感染的IP地址: A.B.C.D

设置 D 等于 0.

设置A, B, 和 C 为 0 到 255中的随机数.

蠕虫将对有DCOM RPC 漏洞的机器发起TCP 135端口的连接，进行以下方式的感染：

4、在TCP 4444 端口绑定一个cmd.exe的后门。

5、在UDP port 69口上进行监听. 如果他收到了一个请求, 他将把Msblast.exe发送给目标
机器.（蠕虫传播的一种方式）

6、发送命令给远端的机器使它回联已经受到感染的机器并下载Msblast.exe

7、如果感染机器的日期超过了8月，或者现在的时间超过了15日，蠕虫将对windowsupdate.com
发动拒绝服务攻击

按照现在发现的蠕虫的逻辑，这个蠕虫将在本月16日对windowsupdate.com发动拒绝服务攻击,
并且持续到年末。

8、该蠕虫中包含下面一段话，但是这段话不会被显示出来:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

网络控制方法：

如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:

TCP 4444 蠕虫开设的后门端口，用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软：DCOM RPC

计算机处理办法：

蠕虫攻击不成功可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，RPC 服务停止；
建议你重新启动计算机，立刻打补丁（下载地址见下文）；

如果你的系统被感染了，系统可能出现如下特征：

1. 被重启动；
2. 用netstat 可以看到大量tcp 135端口的扫描；
3. 系统中出现文件： %Windir%\system32\msblast.exe
4. 系统工作不正常，比如拷贝、粘贴功能不工作，IIS服务启动异常等；

手动删除办法：

1. 检查、并删除文件: %Windir%\system32\msblast.exe

2. 打开任务管理器，停止以下进程 msblast.exe .

3. 进入注册表（“开始->运行：regedit)

找到键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在右边的栏目, 删除下面键值:

"windows auto update"="msblast.exe"

4. 给系统打补丁（否则很快被再次感染）

CCERT:(因访问量大，可能很慢)
winnt
Windows 2000补丁
Windows XP
win2003

更多补丁信息请参见： http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

请关注CCERT主页和邮件列表:
http://www.ccert.edu.cn
advisory@ccert.edu.cn

其他参考信息

1、http://www.securityfocus.com/news/6689

2、http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS03-026.asp

3、http://www.securityfocus.com/columnists/174

4、http://isc.sans.org/diary.html?date=2003-08-11

中国教育和科研计算机网紧急响应组（CCERT）
2003 年8月12日