荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: michaelx (Silver Bullet), 信区: Virus
标 题: 利用LSA服务远程缓冲区溢出漏洞的蠕虫正在传播[转载]
发信站: 荔园晨风BBS站 (Mon May 3 13:25:26 2004), 转信
【 以下文字转载自 Security 讨论区 】
【 原文由 michaelx 所发表 】
绿盟科技紧急通告(Alert2004-07)
Nsfocus安全小组(security@nsfocus.com)
http://www.nsfocus.com
利用LSA服务远程缓冲区溢出漏洞的蠕虫正在传播
发布日期:2004-05-02
受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
未受影响的软件及系统:
======================
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
综述:
======
绿盟科技网络安全小组捕获到一个新的蠕虫正在快速传播。该蠕虫利用的是本月早
些时候公布的“Windows Local Security Authority Service远程缓冲区溢出漏洞
”。由于该蠕虫传播的目标是相当流行的Windows操作系统,所以危险程度很高。
对于没有安装ms04-011安全补丁而又没有防火墙保护的联网系统来说,被该蠕虫感
染的几率相当大。
蠕虫攻击可能导致Windows 2000/XP操作系统重启,蠕虫传播时可能导致被感染主
机系统性能严重下降以及被感染网络带宽被大量占用。
分析:
======
LSA服务是Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过
这个服务。该服务在记录日志的时候会调用vsprintf()函数以,但是对提供给这个
函数的字符串参数缺少正确的边界检查,发送超长的字符串可导致缓冲区溢出,进
而执行任意代码,完全控制系统。数日前,有人公布了针对该漏洞的一个攻击代码
。
这个蠕虫利用上述漏洞,在系统上取得控制权后,打开9996端口并绑定cmd.exe,
然后连接上来,通过ftp将蠕虫自身传输到系统目录下,文件名为“4-5位随机数字
_up.exe”, 例如74354_up.exe。传输完毕后,蠕虫文件就会被执行,进行以下操
作:
1、将自身拷贝到 %SystemRoot%\avserve.exe 并在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"avserve.exe" = %SystemRoot%\avserve.exe
这将导致每次系统重起时该蠕虫被自动运行。
2、在C盘根目录创建文件win.log,里面记录本地主机的IP地址。
3、在本地的5554端口建立FTP服务器,用于传播自身。
4、扫描并攻击网络上的其他主机的TCP/445端口,一旦攻击成功,就在被攻击的主
机的TCP 9996端口上启动一个shell程序,然后回连到本地的FTP服务器上下载蠕虫
并运行。
另外,由于该蠕虫使用的溢出代码不够完善,受攻击的系统在运行一段时间后,本
地安全权威服务的进程LSASS.EXE会崩溃,这将导致系统重启。
蠕虫攻击可能导致Windows 2000/XP操作系统重启,蠕虫传播时可能导致被感染主
机系统性能严重下降以及被感染网络带宽被大量占用。
解决方法:
==========
绿盟科技的“冰之眼”入侵检测系统可以侦测出该蠕虫的传播行为并找到被蠕虫感
染的主机,“极光”远程安全评估系统可帮助您快速找出网络上存在安全隐患可能
被蠕虫攻击的系统。
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 如果您已经被蠕虫感染,可以参考如下步骤杀掉蠕虫:
1) 以管理员身份登陆,启动一个CMD窗口(或者在“开始”-->“运行”中),
执行下列命令:
net stop server
这将停止server服务,蠕虫将无法通过共享服务发起攻击。这会影响一些依
赖server服务的程序,
在安装完补丁之后应当重新启动此服务。
2) 打开任务管理器,杀掉名字为"avserve.exe"和"4-5位随机数字_up.exe"(例
如74354_up.exe)的进程。
3) 执行regedit命令启动注册表编辑器,找到如下键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除其中的如下键值:
"avserve.exe"="%Windir%\avserve.exe"
4) 安装微软提供的MS04-011中的安全补丁,参考"厂商补丁"中的相关链接
5) 重新启动系统。
* 使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过
滤。
厂商补丁:
请参考Microsoft安全公告MS04-011安装相应补丁:
MS04-011:Security Update for Microsoft Windows (835732)
链接:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
补丁下载:
Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service
Pack 3, 和Microsoft Windows 2000 Service Pack 4 :
http://www.microsoft.com/downloads/details.
aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en
Microsoft Windows XP and Microsoft Windows XP Service Pack 1 :
http://www.microsoft.com/downloads/details.
aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en
Microsoft Windows XP 64-Bit Edition Service Pack 1:
http://www.microsoft.com/downloads/details.
aspx?FamilyId=C6B55EF2-D9FE-4DBE-AB7D-73A20C82FF73&displaylang=en
Microsoft Windows XP 64-Bit Edition Version 2003:
http://www.microsoft.com/downloads/details.
aspx?FamilyId=C207D372-E883-44A6-A107-6CD2D29FC6F5&displaylang=en
附加信息:
==========
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=6305
http://www.eeye.com/html/Research/Advisories/AD20040413C.html
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.39]
--
※ 转载:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 61.144.235.39]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店