加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 编程 > 正文

红色警报:病毒肆虐,你的Windows重启没有?

发布时间:2019-06-22 20:16:13 所属栏目:编程 来源:蓝点
导读:> 从今天凌晨开始,许多用户的系统就不停的重新启动。现在已经查明是两种蠕虫病毒利用RPC服务的漏洞对网络中的计算机进行攻击。该两种病毒名为“爆破工(Worm.Blaster)”和“异形(Worm.Rpc.Zerg)”,微软已经放出了该漏洞的补丁,请大家赶快去下载。 发作
>

  从今天凌晨开始,许多用户的系统就不停的重新启动。现在已经查明是两种蠕虫病毒利用RPC服务的漏洞对网络中的计算机进行攻击。该两种病毒名为“爆破工(Worm.Blaster)”和“异形(Worm.Rpc.Zerg)”,微软已经放出了该漏洞的补丁,请大家赶快去下载。

发作时弹出强行重启窗口

  以下是该病毒的一些资料:

  漏洞现象:Windows系统不稳定出现SCVHOST错误,开机后无法进行复制、粘贴等操作,无法打开OUTLOOK或IE等程序,机器在1~2分内出现RPC错误重新启动。

  威胁程度:Microsoft RPC为远程管理员权限,MS WINDOWS 2000 RPC为远程拒绝服务
  错误类型:Microsoft RPC为设计错误,MS WINDOWS 2000 RPC为输入验证错误
  利用方式:Microsoft RPC为服务器模式、MS WINDOWS 2000 RPC为客户机模

  Microsoft RPC CVE(CAN) ID:CAN-2003-0352

  受影响系统

  Microsoft Windows NT 4.0
  Microsoft Windows NT 4.0 Terminal Services Edition
  Microsoft Windows 2000
  Microsoft Windows XP
  Microsoft Windows Server 2003
  需要说明的是已经装有SP4的系统也需要安装补丁

  详细描述

  Microsoft RPC :Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议,提供进程间交互通信,允许程序在远程机器上运行任意程序。

  RPC在处理通过TCP/IP进行信息交换过程中存在漏洞,问题由于不正确处理畸形消息造成。主要此漏洞影响使用RPC的DCOM接口,监听RPC使能的接口,这个接口处理DCOM对象激活请求。攻击者如果成功利用此漏洞,可以以系统用户权限执行任意代码。

  要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定RPC端口。如135、139、445等任何配置了RPC端口的机器。

  MS WINDOWS 2000 RPC :WINDOWS的RPC服务(RPCSS)存在漏洞,当发送一个畸形包的时候,会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务,许多应用和服务程序都依赖于他,因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。

  技术分析

  问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写操作,这样就导致了内存访问违例,RPC服务进程崩溃。

  危害

  攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行。 由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。

  解决方案

  比较有效的防范方法是:关闭传播端口、安装新补丁。

  网络控制方法:

  如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444和下面的端口:

  TCP 4444      蠕虫开设的后门端口,用于远程控制
  UDP Port 69   用于文件下载
  TCP Port 135  微软:DCOM RPC

  补丁下载:

  Windows NT 4.0 Server :

  http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

  Windows NT 4.0 Terminal Server Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

  Windows 2000:

  http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

  Windows XP 32 bit Edition :

  http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

  Windows XP 64 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

  Windows Server 2003 32 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

  Windows Server 2003 64 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

  Windows2000 中文版

  http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&DisplayLang=zh-cn

  Windows XP 中文版

  http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

  Windows 2003 中文版

  http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E

  相关信息请参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

如果升级了补丁你还是解决不了问题,只有用终极修改法了:杀毒:拒绝蠕虫,手把手教你关闭135端口


(pcpop)

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读