常见蠕虫病毒介绍和常见ACL配置

  常见蠕虫病毒介绍和常见 ACL 配置

 

目前网络蠕虫病毒是当前网络最大的危害，是造成当前很多网络堵塞的重要原因。但是目前发现的这些蠕虫病毒，容易通过防火墙识别出这些被感染的计算机，它具有比较明显的扫描和连接特征， Eudemon 防火墙支持黑名单功能，可以通过显示黑名单列表功能直接查看哪些设备可能感染了蠕虫病毒。当然有些 BT 下载用户，也可能被认为是在扫描被动态加入黑名单，这个还需要具体鉴别 。

为了尽量减少蠕虫病毒在网络上的传播，现在常常配置ACL,把已知的蠕虫病毒常用的一些端口给封掉，可参考下面的配置，但需要注意的是，因为有些端口和一些网络游戏的端口是相同的，可能会导致一些游戏玩不起来，因此需要根据情况，把某些端口还是要打开。注意因为配置的ACL规则条数比较多时，例如超过5个， 因为 Eudemon 防火墙支持高速 ACL 算法，要注意配置启动 ACL 加速命令（ acl accelate ），这时，无论配置多少 ACL ，查找 ACL 速度和 ACL 条数无关。（ Eudemon 200,100 支持该命令， 500 ， 1000 默认就是支持，因此无需单独配置该命令）

 rule 5 deny tcp destination-port eq 135                                       

 rule 10 deny udp destination-port eq 135                                      

 rule 15 deny tcp destination-port eq 139                                      

 rule 20 deny udp destination-port eq netbios-ssn                              

 rule 25 deny tcp destination-port eq 445                                      

 rule 30 deny udp destination-port eq 445                                      

 rule 35 deny tcp destination-port eq 593                                       

 rule 40 deny udp destination-port eq 593                                      

 rule 45 deny tcp destination-port eq 4444                                     

 rule 50 deny tcp destination-port eq 5554                                      

 rule 55 deny udp destination-port eq tftp                                     

 rule 60 deny udp destination-port eq 1434                                     

 rule 65 deny tcp destination-port eq 9996                                     

 rule 70 deny tcp destination-port eq 44445  

 

1.1.1     slammer 蠕虫

slammer 是针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的一种蠕虫。该蠕利用 MS-SQL 的一个漏洞进行传播。（ MS-SQL 的漏洞信息请参见 sql 漏洞）由于蠕虫发送大量的 udp 包，因此会造成网络 Dos 攻击。

 

影响版本：

 

　　 SQL Server 2000 RTM

　　 SQL Server 2000 SP1

　　 SQL Server 2000 SP2

　　 Microsoft SQL Desktop Engine Version (MSDE) 2000

 

详细信息：

 

　　蠕虫感染一台有漏洞的主机过程如下：

 

　　 1. 将自身封装在一个 376 字节的 udp 数据包中发送到网络上任意地址主机的 udp 1434 端口

 

　　 2. 如果主机的 SQL 服务器解析服务（ SQL Server Resolution Service ）开放并没有安装相应的补丁，蠕虫将利用漏洞覆盖一部分系统内存，以此获得 SQL 服务进程所拥有的安全权限。

 

　　 3. 调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地 4. 在受害主机上建立一个 socket, 使用一个临时的端口发送封装有蠕虫的 udp 包到刚才产生的那些地址中，只要这些地址中存在具有该漏洞的主机均能感染．

 

蠕虫具有以下特征：

 

　　 1. 使用 udp 协议传播，传播速度快，传播面积广

　　 2. 蠕虫感染系统后，只驻留内存不在硬盘上写任何文件

　　 3. 由于发送大量的 udp 包会产生巨大的网络流量，造成 Dos 攻击

 

网络检测方法：

symantec 提供了如下的网络检测规则

alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation";

content:"|68 2E 646C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0;

depth:1;)

 

本地检测方法：　

微软提供了专门的检测工具，你可以在我们的网站上下载到相关的工具： 检测工具

使用里面的 sqlscan 你可以扫描出网络上易受 slammer 感染的主机来。软件内附有详细的使用说明。

 

 

网络控制方法：　

你可以在边界路由器上添加以下规则：

access-list 110 deny udp any any eq 1434

本地控制方法：　

为有 MS-SQL 的机器安装最新的补丁

使用单机防火墙屏蔽 udp1434 端口

解决方法：　

　　请先确定您的 MS-SQL 安装了最新补丁，如果没有请尽快安装补丁。如果不及时安装补丁，即便是你有效的清除了该蠕虫也会很快被重新感染。相关的补丁你可以在我们的网站上下载： chs_sql2ksp3

 

如果确定你的机器已经被感染了 slammer 蠕虫，请按以下方法操作：

　　 1. 暂时将本地的 MS-SQL 服务设为禁用，重新启动机器

　　 2. 下载相关的补丁到本地并安装

　　 3. 重新启用本地的 MS-SQL 服务

1.1.2     W32.Blaster 蠕虫

 

　　蠕虫名称

 

　　 W32.Blaster.Worm (symantec)

　　 W32/Lovsan.worm (McAfee)

　　 WORM_MSBLAST.A (Trend Micro)

　　 Win32.Posa.Worm (CA)

　　 Lovsan (F-secure)

　　 CVE 参考： CAN-2003-0352

　　 BUGTRAQ ID ： 8205

 

　　影响系统

 

　　 Microsoft Windows NT 4.0 （包括所有 SP 补丁版本）

　　 Microsoft Windows 2000 （包括所有 SP 补丁版本）

　　 Microsoft Windows XP （包括所有 SP 补丁版本）

　　 Microsoft Windows Server 2003

 

　　特征描述

　　 W32.Blaster 是一种利用 DCOM RPC 漏洞（请参考 [url]http://www.microsoft.com/technet/security/[/url] bulletin/ MS03-026.asp ）进行传播的蠕虫，传播能力很强。蠕虫传播时破坏了系统的核心进程 svchost.exe ，从而导致系统不稳定，并可能造成系统崩溃。它扫描的端口号是 TCP/135 ，攻击成功后它会利用 TCP/4444 和 UDP/69 端口下载并运行它的代码程序 Msblast.exe 。

　　蠕虫感染特征：

　　 1 、 蠕虫攻击可能导致 RPC 服务停止，因此可能引起其他服务（如 IIS ）不能正常工作；

　　 2 、 攻击不成功时，可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，无法进入网站页面链接等等；

　　 3 、 成功溢出时，系统表现为如下特征：

　　 * 系统被重启动；

　　 * 用 netstat 可以看到大量 TCP/135 端口的扫描；

　　 * 系统中出现文件： %Windir%\system32\msblast.exe ；

　　 * 注册表中出现键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "windows auto update"="msblast.exe" ；

　　控制方法

 

　　如果您不需要使用下面的端口，可以在防火墙或路由器上暂时阻塞下面的端口：

 

　　 * TCP 4444 蠕虫开设的后门端口，用于远程命令控制

　　 * UDP Port 69 用于文件下载

　　 * TCP Port 135 蠕虫用以下端口发现有漏洞的系统

　　 * TCP Port 137

　　 * TCP Port 139

 

　　如果您使用 cisco 路由器，可以用如下访问控制列表来防止蠕虫的扫描和传播（仅作参考）：

　　 ! 以前的控制规则

　　 ! … ..

　　 access-list 110 deny tcp any any eq 135

　　 access-list 110 deny tcp any any eq 4444

　　 access-list 110 deny udp any any eq 69

　　 access-list 110 permit ip any any

　　 interface s0

　　 ip access-group 110 in

　　检测和删除

　　如果你的计算机感染了蠕虫，可以用下面办法手工删除：

　　 1. 检查、并删除文件 : %Windir%\system32\msblast.exe

　　 2. 打开任务管理器，停止以下进程 msblast.exe .

　　 3. 进入注册表（“开始 -> 运行： regedit) ， 找到键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　在右边的栏目 , 删除下面键值 :

"windows auto update"="msblast.exe"

　　 4. 给系统打补丁（否则很快被再次感染），补丁下载地址参见下文。

　　 5 ．如果您安装了网络入侵检测系统，请尽快升级检测规则， Symantec 公司给出的检测规则如下：

alert tcp $EXTERNAL_NET any -> $HOME_NET 135 \ (msg:"DCE RPC Interface Buffer Overflow Exploit"; \ content:"|00 5C 00 5C|"; \ content:!"|5C|"; within:32; \ flow:to_server,established; \ reference:bugtraq,8205; rev: 1; )

 

　　补丁下载

[url]http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/[/url] MS03-026.asp

CCERT: [url]http://www.edu.cn[/url] 　 Windows 2000 补丁 　　 Windows XP 补丁

 [url]http://www.ccert.edu.cn[/url]

CNCERT: [url]http://www.cert.org.cn/upload[/url]

蠕虫感染途径

　　 1. 蠕虫感染系统后首先检测是否有名为 "BILLY" 的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建。

　　 2. 在注册表

　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中添加以下键值： windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。

　　 3. 蠕虫还会在本地的 UDP/69 端口上建立一个 tftp 服务器，用来向其它受侵害的系统上传送蠕虫的二进制程序 msblast.exe 。

 

　　 4. 蠕虫选择目标 IP 地址的时候会首先选择受感染系统所在子网的 IP ，然后再按照一定算法随机在互连网上选择目标攻击。

　　 5. 向目标的 TCP/135 端口发送攻击数据。如果攻击成功，会监听目标系统的 TCP/4444 端口作为后门，并绑定 cmd.exe 。然后蠕虫会连接到这个端口，发送 tftp 命令，回连到发起进攻的主机（ UDP/69 端口），将 msblast.exe 传到目标系统上，然后运行它。

 

　　蠕虫检测到当前系统月份是 8 月之后或者日期是 15 日之后，也就是说，在 1 月至 8 月的 16 日至此月最后一天，以及九月至十二月的任意一天，就会向微软的更新站点 "windowsupdate.com" 发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的 Windows 系统 RPC 服务崩溃， Windows XP 系统可能会自动重启。该蠕虫不能成功侵入 Windows 2003 ，但是可以造成 Windows 2003 系统的 RPC 服务崩溃，默认情况下，这将使系统重启。

　　蠕虫代码中还包含以下文本数据：

　　 I just want to say LOVE YOU SAN!!

　　 billy gates why do you make this possible ? Stop making money and fix your software!! （比尔・盖茨，你为什么要使这种攻击成为可能？不要再只顾挣钱了，好好修补你发行的软件吧。）

　参考信息

　　 1 、 [url]http://www.securityfocus.com/news/6689[/url]

　　 2 、 [url]http://www.cert.org/tech_tips/w32_blaster.html[/url]

3 、 [url]http://www.cert.org.cn[/url]

 

1.1.3     W32.Nachi.Worm 蠕虫

　　蠕虫名称

　　 MSBlast.D （趋势科技）

　　 LovSAN.D （ F-Secure ）

　　 W32/Nachi.Worm （ NAI ）

　　 W32.Welchia.Worm (Symantec)

　　 CVE 参考 : CAN-2003-0109, CAN-2003-0352

 

　　影响系统

　　 Windows 2000, Windows XP / Windows 2003

　　简单描述

　　 W32.Nachi.Worm 蠕虫 ( 以下简称 Nachi 蠕虫 ) 利用了 Microsoft Windows DCOM RPC 接口远程缓冲区溢出漏洞 ( 漏洞信息参见 [url]http://www.ccert.edu.cn/[/url] advisor ies/all.php?ROWID=48) 和 Microsoft Windows 2000 WebDAV 远程缓冲区溢出漏洞（漏洞信息参见 [url]http://www.ccert.[/url] edu.cn/advisories/all.php?ROWID=28 ）进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。 Nachi 蠕虫感染机器后，会产生大量长度为 92 字节的 ICMP 报文，从而严重影响网络性能。 (ICMP 流量增长趋势参见附图 ) 。

这些 ICMP 数据包的特征如下（其中 xxx 为隐去的 IP 地址）：

　　 xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request

　　 4500 005c 1a8d 0000 7801 85be xxxx xxxx

　　 xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa

　　 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa

　　 aaaa aaaa aaaa

计算机感染特征

　　 1 、被感染机器中存在如下文件：

　　 %SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE

　　 %SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE

　 2 、注册表中增加如下子项：

　　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

　　 RpcTftpd

　　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

　　 RpcPatch

　　 3 、增加两项伪装系统服务：

　　 Network Connection Sharing

　　 WINS Client

　　 4 、监听 TFTP 端口 (69) ，以及一个随机端口（常见为 707 ）；

　　 5 、发送大量载荷为“ aa ”，填充长度 92 字节的 icmp 报文，大量 icmp 报文导致网络不可用。

　　 6 、大量对 135 端口的扫描；

　　蠕虫的详细信息

　　在被感染的机器上蠕虫会做以下操作：

　　 1 、蠕虫首先将自身拷贝到 %System%\Wins\Dllhost.exe （ %system% 根据系统不同而不同， win2000 为 c:\winnt\system32,winxp 为 c:\windows\system32)

　　 2 、拷贝 %System%\Dllcache\Tftpd.exe 到 %System%\Wins\svchost.exe

　 3 、创建 RpcTftpd 服务，该服务取名 Network Connections Sharing ，并拷贝 Distributed Transaction Coordinator 服务的描述信息给自身。

　　服务的中文描述信息为：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器

　　创建 RpcPatch 服务，该服务取名 WINS Client ，并拷贝 Computer Browser 服务的描述信息给自身。服务的中文描述信息为：维护网络上计算机的最新列 表以及提供这个列表给请求的程序。

　　 4 、判断内存中是否有 msblaster 蠕虫的进程，如果有就杀掉，判断 system32 目录下有没有 msblast.exe 文件，如果有就删除。

　　 5 、使用类型为 echo 的 ICMP 报文 ping 根据自身算法得出的 ip 地址段，检测这些地址段中存活的主机。

　　 6 、一旦发现存活的主机，便试图使用 135 端口的 rpc 漏洞和 80 端口的 webdav 漏洞进行溢出攻击。 溢出成功后会监听 666-765 范围中随机的一个端口等待目标主机回连。但是从我们监测情况看，通常都是 707 端口。

　　 7 、建立连接后发送“ dir dllcache\tftpd.exe ”和“ dir wins\dllhost.exe ”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有 tftpd.exe 文件，就将 tfptd 拷贝到 %system%\wins\svhost.exe ，如果没有，就利用自己建立的 tftp 服务将文件传过后再拷贝。

　　 8 、检测自身的操作系统版本号及 server pack 的版本号，然后到微软站点下载相应的 ms03-26 补丁并安装。如果补丁安装完成就重新启动系统。

　　 9 、监测当前的系统日期，如果是 2004 年，就将自身清除。

网络控制方法

　　如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞下面的协议端口 :

 

　　 UDP Port 69, 用于文件下载

　　 TCP Port 135, 微软： DCOM RPC

　　 ICMP echo request(type 8) 蠕虫用于发现活动主机