荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: agileboy (快乐笛子), 信区: WinNT
标  题: RPC 大面积爆发了…… ZZ
发信站: 荔园晨风BBS站 (Wed Aug 13 20:34:39 2003), 站内信件


2003年07月16日已经有人发现了这个系统漏洞,并且也曾出现过2个病毒,但是由
于未大面积流传,所以也没有引起人们的注意,但是这次不同了!W3.

受该蠕虫病毒影响的操作系统:
====================
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000

Microsoft Windows 2003
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000


综述:
======
一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫
正在活跃,危害极大。

病毒分析:
======
这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的
蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定
算法随机在互连网上选择目标攻击。

一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监
听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会粒

蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有
打补丁担

蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新点
"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日

蠕虫代码中还包含以下文本数据:

I just want to say LOVE YOU SAN!!billy gates why do you make this
possible ? St!

技术原理:
==========
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,
RPC协议提?

最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致
存在一个?
行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐
户等。

要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.

解决方法和预防方法:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,
RPC协议提?
==========
可见《新型病毒出现NT构架用户注意》

或者点击这里下载http://www.trendmicro.com/ftp/products/tsc/tsc.zip 病毒
清除工具?

参考资料:
==========
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

编辑注:这已经是第三个利用MS03-026的蠕虫,比前两版都精致一些,绑定TCP
4444的shell,使用TFTP来传播自身,条件符合的话还会对windowsupdate.com进行
拒绝服巍


--
※ 来源:.华南网木棉站 bbs.gznet.edu.cn.[FROM: 211.66.5.96]

--
       HappyShow 发布地址:
                 ftp://192.168.48.27
                 ftp://happyshow.3322.org
                 华军下载页面:http://www.onlinedown.net/soft/16759.htm
 HappyShow电影插件包下载:ftp://192.168.48.27
  HappyShow 电影插件包下载:ftp://happyshow.3322.org

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.11]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店