首页 > 站务公告 > 正文

转发 CCERT 关于 Dvldr32 蠕虫防范的公告

2003-04-05
 
教育科研网的安全公告,主要从最终用户的角度考虑,如何检测、删除Dlvdr蠕虫。
 
只有让最终用户删除了这些蠕虫并采取了安全措施,只有路由器上的这些过滤规则都去掉以后,网络仍然正常,才算彻底解决问题。
 
因此,建议各接入部门尤其是各教学单位的机房,对网络内部的安全问题进行全面检查。网络中心也将积极配合各部门的杀毒、防黑工作,派专人进行指导。
 
下面是转发内容:
 
CCERT 关于 Dvldr32 蠕虫防范的公告
 
中国教育和科研计算机网紧急响应组(CCERT)
2002年3月9日
 
  2003年3月7日以来,一种破坏力很强的蠕虫(暂且以攻击程序的名字命名为Dvldr32 蠕虫)在网络上大面积传播,控制了大量口令设置不安全的Windows系统,对网络造成了很大破坏。 目前主要的网络运行商已经在网络上对其传播途径进行了控制,但是,被感染的系统、可能被感染的系统仍然大量存在,有必要引起进一步的关注。
 
1. 易受感染的系统
    Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.
 
2.蠕虫利用系统漏洞
    弱口令,比较典型的是管理员(administrator)口令为空
 
3.主要危害
    计算机感染Dvldr32蠕虫后,定期的随机选择两个C类地址进行扫描(TCP 445端口),如果目标机器上存在弱口令账号(如:administrator账号密码为空),蠕虫便会利用该账号将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门(TCP 5800,TCP 5900),并通过互联网聊天协议(IRC,TCP 目标端口6667)与境外的服务器进行通信。
    该蠕虫的扫描和传播可能造成网络严重拥塞,主要表现为大量 TCP 445端口的扫描、TCP 6667端口的通信。另外,网络流量监测结果表明IP协议字段为 255( IP 头标的第9个字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。
 
4. 蠕虫的检测方法(面向计算机用户)
    如果出现以下特征之一,可以认为系统已经被感染:
    (1) 如果你的管理员口令为空或者容易猜测的口令,那么你的计算机系统可能已经被感染了,或者很容易受到感染;
    (2) 登录计算机系统,执行netstat -an命令,如果出现大量对外6667端口的TCP连接,或者正在监听TCP 5800和5900端口,那么你的系统可能被感染了,如下所示:
C:\>netstat.exe -n  
Active Connections
Proto  Local Address      Foreign Address        State 
TCP    x.x.x.x:1043      149.156.91.2:6667      CLOSE_WAIT
TCP    x.x.x.x:1045      198.65.147.245:6667    CLOSE_WAIT
......
TCP    x.x.x.x:4811      198.65.147.245:6667    CLOSE_WAIT
TCP    x.x.x.x:4887      149.156.91.2:6667      CLOSE_WAIT
    (3) 如果系统目录下出现了一下文件,那么你的系统可能被感染了:
C:\> dir /O:D winnt\system32
C:\winnt\system32 的目录
...
2003-03-07  02:23              745,984 Dvldr32.exe
2003-03-08  19:53               61,440 PSEXESVC.EXE
2003-03-08  22:38              684,562 inst.exe
2003-03-08  22:38               36,352 psexec.exe
2003-03-09  00:21                 .
2003-03-09  00:21                 ..   
C:\>dir winnt\fonts /O:D
......
2000-01-10  12:00              118,752 webdings.ttf
2002-11-06  15:45               32,768 VNCHooks.dll
2002-11-06  15:45               57,344 omnithread_rt.dll
2002-11-06  17:07              212,992 explorer.exe
2002-11-06  17:58               29,336 ~GLH0003.TMP
2002-11-06  17:58               29,336 rundll32.exe
    (4) 检查注册表, 如果增加了如下键值,则你的系统已经被感染了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
"messnger"="C:\\WINNT\\system32\\Dvldr32.exe"
 
5. 蠕虫的删除方法(计算机用户)
    (1) 为 administrator 设定安全的口令,检查其他所有普通用户口令的安全性;
    (2) 终止名为dvldr32.exe 和rundll32.exe 的进程;
    (3) 删除 以下文件(%windir%是windows nt/2000的根目录,比如c:\winnt):   
   
    %windir%\system32\dvldr32.exe  
    %windir%\fonts\explorer.exe 
    %windir%\fonts\omnithread_rt.dll  
    %windir%\fonts\VNCHooks.dll    
    %windir%\fonts\rundll32.exe      
    %windir%\system32\cygwin1.dll
    %windir%\system32\ INST.exe
    (4) 清理注册表,删除3(4)中所提到的注册表中的键值
    (5) 重新启动计算机
 
6. 蠕虫的网络检测(网络管理员)
    如果你管理的网络出现了以下现象,那么网络中可能有计算机系统受感染了
   
    (1)  网络性能显著下降;
 
    (2)  用流量分析工具(比如Unix平台的tcpdump 、Windows 平台的Sniffer pro),可以看到从网络内部发起的大量目标端口为445、6667的TCP 数据包;
 
    (3)  用端口扫描软件(比如Linux 平台的nmap),扫描你所管理的网络,如果有的计算机同时打开了TCP 445 、5800、5900端口,则该计算机系统可能被感染了。
 
7. 蠕虫的控制手段(网络管理员)
  在边界路由器或防火墙上配置访问控制规则,可以控制蠕虫传播的途径,起到保护内部网络、控制被感染系统扩散的目的。
  例如,可以在cisco 路由器上的配置如下访问控制表:
    access-list 110 deny tcp any any eq 445
    ! 用于控制蠕虫的扫描和感染;
    access-list 110 deny tcp any any eq 5800
    access-list 110 deny tcp any any eq 5900
    ! 用于防止受感染的系统被远程控制
   
  access-list 110 deny tcp any any eq 6667
    ! 用于控制 受感染的系统与聊天服务器的通信
    access-list 110 deny udp any any eq 1434
    ! 用于控制 Slammer worm
    access-list 110 deny 255 any any
    access-list 110 deny 0 any any
    ! 用于控制 IP Protocol 为255 和0 的流量
   
    access-list 110 permit ip any any
8.蠕虫传播机理分析
    中国教育和科研计算机网紧急响应组(CCERT):  http://www.ccert.edu.cn
  哈工大安天CERT 小组                      :  http://www.antiy.com/home.htm
  
9. CCERT 技术支持
    电话: 010-62784301
    传真: 010-62785933
    EMAIL: report@ccert.edu.cn
    地址:清华大学中央主楼210 室     邮编  100084

上一条:祝贺我院设计学系主页开通!

下一条:祝贺我院科研处主页开通!

相关新闻
读取内容中,请等待...
近期热点

学校地址

长清校区:山东省济南市长清区大学路1255号

千佛山校区:山东省济南市历下区千佛山东路23号

联系方式

电话:0531-89626616