NetEye安全公告：“震荡波”蠕虫病毒解决方案

NetEye安全公告：“震荡波”蠕虫病毒解决方案
漏洞概述：
??
??LSA服务是Windows系统中一个关键性的服务，所有安全认证相关的处理都要经过这个服务。该服务包含的Active Directory 服务在记录日志的时候会调用vsprintf()函数，但是对提供给这个函数的字符串参数缺少正确的边界检查，发送超长的字符串可导致缓冲区溢出，进而执行任意代码，完全控制系统。近日，有人公布了针对该漏洞的一个攻击代码，同时也出现了利用该漏洞的蠕虫——Sasser“震荡波”蠕虫。
??
??震荡波蠕虫在有漏洞的系统上获取控制权后，打开TCP/9996端口并绑定cmd.exe，然后连接上来，开启一个FTP服务在TCP 5554端口，通过ftp将蠕虫自身传输到系统目录下，文件名为“4-5位随机数字_up.exe”, 传输完毕后，蠕虫文件就会被执行。“震荡波(Worm.Sasser)”蠕虫类似于2003年的“冲击波(Worm.Blaster)”蠕虫，利用系统漏洞自动传播，没有打补丁的电脑用户都会感染该蠕虫，从而使电脑出现系统反复重启、运行缓慢、无法正常上网等异常现象。

受影响的平台：

??* Microsoft Windows 2000；
??* Microsoft Windows XP；
??* Microsoft Windows Server 2003；

详细分析：　

??蠕虫感染系统后会做以下操作：
　　
??1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。
　　
??2.将自身拷贝为%Windir%avserve.exe（注意%windir%是个变量，它根据系统版本和安装路径不同而有所不同，通常情况是c:windows或者c:winnt）
　　
??3.修改注册表，在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中添加“avserve.exe”=“%Windir%avserve.exe”值这个操作保证蠕虫在系统重新启动后能够自动运行。
　　
??4.利用AbortSystemShutdown函数（系统意外中断错误重起函数）使系统重新启动
　　
??5.开启一个FTP服务在TCP 5554端口，用来向其他被感染的机器传送蠕虫程序产生随机的网络地址，尝试连接这些地址的TCP 445端口并发送攻击程序,一旦攻击成功，蠕虫会在被攻击的机器的TCP 9996端口上创建一个远程的shell,然后利用这个远程的shell执行命令让被攻击的机器连接到发起攻击的机器的FTP 5554端口上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字和_up.exe组成的（如27423_up.exe）

??随机的地址按如下规则生成：

??* 50%的机会是由系统随机生成的；

??* 25%的机会随机生成的ip地址的前八位（二进制）与本地的IP地址的前八位相同，也就是说在被感染IP地址相同的A类地址段中随机生成；

??* 25%的机会随机生成的ip地址的前16位（二进制）与本地IP地址的前十六位相同，也就是说在被感染IP地址相同的B类地址中随机生成．
　　
??6.发起128个线程对上面产生的IP地址进行扫描。蠕虫的这个操作会占用大量的系统资源，可能使CPU的负载到达100%无法响应系统的正常请求。

解决方案:

??* 检查是否被感染的方法（如果系统中存在以下特征就表明您已被W32.Sasser蠕虫感染了）
??
??1.系统进程中存在名为avserve.exe的进程
??
??2.系统目录中存在avserve.exe文件
??
??3.注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中存在“avserve.exe”=“%Windir%avserve.exe”值
??
??* 手工清除方法：
　　
??1.下载相应的补丁程序到本地硬盘上；
　　
??2.断开网络连接；
　　
??3.结束系统进程中的下列进程：avserve.exe，由4-5个随机的阿拉伯数字和_up.exe组成的名字进程（如23423_up.exe）删除这些进程的对应文件；
　　
??4.升级系统的杀毒软件到最新的病毒库；
　　
??5.使用杀毒软件进行全盘扫描，发现病毒后选择删除；
　　
??6.编辑注册表程序删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项中的“avserve.exe”=“%Windir%avserve.exe”值；
　　
??7.安装补丁程序后重新启动机器。
??
??* 使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

NetEye产品解决方案：
　　
??针对“震荡波”蠕虫病毒，东软发布了NetEye防火墙系统（Ver3.2）防震荡波攻击升级包和NetEye IDS防震荡波攻击规则升级包idslib_2004_05_13（Ver2.1.1），请用户及时下载升级。