關于我們 | 網站結構 | 意見反饋

 首頁 | 中心概要 | 地區網建設 | 應用服務 | 網絡資源 | 賽爾華東南分公司

CCERT關于Dvldr32 蠕蟲防范的緊急公告 
中國教育和科研計算機網緊急響應組(CCERT) 

  2003年3月7日以來,一種破壞力很強的蠕蟲(暫且以攻擊程序的名字命名為Dvldr32 蠕蟲)在網絡上傳播,控制了大量口令設置不安全的Windows系統,對網絡造成了很大破壞。 目前主要的網絡運行商已經在網絡上對其傳播途徑進行了控制,但是,被感染的系統、可能被感染的系統仍然大量存在,而且類似的蠕蟲攻擊有可能再度發生,有必要引起進一步的關注。 

1. 易受感染的系統

  Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.

2.蠕蟲利用系統漏洞

  弱口令,比較典型的是管理員(administrator)口令為空

3.主要危害

  計算機感染Dvldr32蠕蟲后,定期的隨機選擇兩個C類地址進行掃描(TCP 445端口),如果目標機器上存在弱口令賬號(如:administrator賬號口令為空),蠕蟲便會利用該賬號將自身遠程注入到目標系統中.該蠕蟲會在感染的系統上留下可以遠程控制的后門(TCP 5800,TCP 5900),并通過互聯網聊天協議(IRC,TCP 目標端口6667)與境外的服務器進行通信。

  該蠕蟲的掃描和傳播可能造成網絡嚴重擁塞,主要表現為大量 TCP 445端口的掃描、TCP 6667端口的通信。另外,網絡流量監測結果表明IP協議字段為 255( IP 頭標的第9個字節 ) 的流量增大也與Dvldr32蠕蟲的感染有關。

4. 計算機用戶的檢測手段

  如果出現以下特征之一,可以認為系統已經被感染:

  (1)如果你的管理員口令為空或者容易猜測的口令,那么你的計算機系統可能已經被感染了,或者很容易受到感染;

  (2)登錄計算機系統,執行netstat -an命令,如果出現大量對外6667端口的TCP連接,或者正在監聽TCP 5800和5900端口,那么你的系統可能被感染了,如下所示: 

    C:\>netstat.exe -n
    Active Connections
    Proto Local Address   Foreign Address    State
    TCP x.x.x.x:1043   149.156.91.2:6667  CLOSE_WAIT
    TCP x.x.x.x:1045   198.65.147.245:6667 CLOSE_WAIT
    …… 
    TCP x.x.x.x:4811   198.65.147.245:6667 CLOSE_WAIT
    TCP x.x.x.x:4887   149.156.91.2:6667  CLOSE_WAIT

  (3)如果系統目錄下出現了以下文件,那么你的系統可能被感染了:

    C:\> dir /O:D winnt\system32
    C:\winnt\system32 的目錄
    ...
    2003-03-07 02:23    745,984 Dvldr32.exe
    2003-03-08 19:53    61,440 PSEXESVC.EXE
    2003-03-08 22:38    684,562 inst.exe
    2003-03-08 22:38    36,352 psexec.exe

    C:\>dir winnt\fonts /O:D
    ......
    2002-11-06 17:07    212,992 explorer.exe
    2002-11-06 17:58    29,336 rundll32.exe

  (4)檢查注冊表, 如果增加了如下鍵值,則你的系統已經被感染了:
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      "TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
      "Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
      "messnger"="C:\\WINNT\\system32\\Dvldr32.exe"

5. 計算機用戶的控制手段

  (1)為 administrator 設定安全的口令,檢查其他所有用戶口令的安全性;

  (2)終止名為dvldr32.exe 和rundll32.exe 的進程;

  (3)刪除 以下文件(%windir%是windows nt/2000的根目錄,比如c:\winnt):
   %windir%\system32\dvldr32.exe
   %windir%\fonts\explorer.exe
   %windir%\fonts\omnithread_rt.dll
   %windir%\fonts\VNCHooks.dll
  %windir%\fonts\rundll32.exe
   %windir%\system32\cygwin1.dll
   %windir%\system32\ INST.exe

  (4)清理注冊表,刪除3(4)中所提到的注冊表中的鍵值

  (5)重新啟動計算機



  為防止類似事件發生,我們向Windows 用戶或系統管理員建議以下最基本的安全措施:

  (1)為操作系統安裝最新的補丁;

  (2)為所有用戶選擇安全的、不用易猜測的口令;

  (3)安裝防病毒軟件,并及時更新病毒定義碼(最好每天一次)。

6. 網絡管理員的檢測手段

  如果你管理的網絡出現了以下現象,那么網絡中可能有計算機系統受感染了 

  (1)網絡性能顯著下降; 

  (2)用流量分析工具(比如Unix平臺的tcpdump 、Windows 平臺的Sniffer pro),

    可以看到從網絡內部發起的大量目標端口為445、6667的TCP 數據包; 

  (3)用端口掃描軟件(比如Linux 平臺的nmap),掃描你所管理的網絡,如果有的

    計算機同時打開了TCP 445 、5800、5900端口,則該計算機系統可能被感染了。

7. 網絡管理員的控制手段

  在邊界路由器或防火墻上配置訪問控制規則,可以控制蠕蟲傳播的途徑,起到保護內部網絡、控制被感染系統擴散的目的。

  例如,可以在cisco 路由器上的配置如下訪問控制表:
     access-list 110 deny tcp any any eq 445
     ! 用于控制蠕蟲的掃描和感染;
     access-list 110 deny tcp any any eq 5800
     access-list 110 deny tcp any any eq 5900
     ! 用于防止受感染的系統被遠程控制
     access-list 110 deny tcp any any eq 6667
     ! 用于控制 受感染的系統與聊天服務器的通信
     access-list 110 deny udp any any eq 1434
     ! 用于控制 Slammer worm
     access-list 110 deny 255 any any
     access-list 110 deny 0 any any
     ! 用于控制 IP Protocol 為255 和0 的流量
     access-list 110 permit ip any any 

8.蠕蟲傳播機理分析

  中國教育和科研計算機網緊急響應組(CCERT):  http://www.ccert.edu.cn 

  哈工大安天CERT 小組:             http://www.antiy.com/home.htm

9. CCERT 技術支持

  電話:010-62784301

  傳真:010-62785933

EMAIL: [email protected]

地址:清華大學中央主樓210 室   郵編 100084


 

相 關 內 容

  中心簡介
  中心信息
  規章制度

 

 

 

中國教育與科研網華東南地區網絡中心  版權所有 © 2001

今晚湖北30选5中奖