这是本人用工具分别打开两个程序的的截图
http://photos.gznet.com/photos/1112506/1112506-M79e46Mlcr.JPG
http://photos.gznet.com/photos/1112506/1112506-agpEHdCw1s.JPG
这是防火墙记录到的一个中毒机器,TELNET上去真的看到了DKing网友所说的那两个程序。。。。
http://photos.gznet.com/photos//-wNIKanPvoi.JPG
最先发现此病毒的好像是位叫 Dking 的网友.以下是他的原帖...
标 题:请版主固顶!新病毒,不比冲击波差!!传染更强!
发贴时间:2003-8-18 14:57:43
--------------------------------------------------------------------------------
如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒
SVCHOST.EXE 大小是19.2K
DLLHOST.EXE 大小是10.K
DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe ; http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe ; http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe ; http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe ; http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe ; http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe ; http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe ; http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE
这2个文件在SYSTEM32里的WINS目录里..如果你菜..肯定上当.这上面的代码不可能是微软的吧!!大家一定要小心!!! 我这不是开玩笑!!!
下面是解决方法!!!
停止这2个系统服务 打开控制面板 然后打开管理工具 打开 服务
看到这2个服务就停止他们
Network connections Sharing
WINS Client
然后到WINS目录里删除这2个文件。。安装防护墙
该帖于【2003-8-18 18:39:04】被【dkinger】修改
--------------------------------------------------------------------------------
50 个解决方案
#1
..........
我也中了
我也中了
#2
你正在PING我!!!!!!!!!!!;)
我的防火墙日记快满乐.......眼看N多送到手上的肉鸡又要飞乐.......唉~~~~~~~~~~
我的防火墙日记快满乐.......眼看N多送到手上的肉鸡又要飞乐.......唉~~~~~~~~~~
#3
我的WINS 里面没有那些文件啊! 怎么还是一样 不听的PING!!
#4
呵呵 病毒开始猖狂了
#5
我的也是 每隔几秒就听见防火墙的警报声音!!!!!!!!!!!!!
#6
我在syetem32文件下找到DLLHOST.EXE 文件 但只有6K 找到SVCHOST.exe文件 但只有8K
在服务里没有见到这两个程序 这应该是正常的吧
在服务里没有见到这两个程序 这应该是正常的吧
#7
今天下午确实防火墙不断的在报警,但好像没有发现那两个文件,SVCHOST.EXE我的进程里有好几个,但都是200k-300k,没有19.2k的!
但如果中毒的话,应该下次开机又会出现,而当我晚上开机的时候,防火墙没有再报警了!!
关注这种现象!
但如果中毒的话,应该下次开机又会出现,而当我晚上开机的时候,防火墙没有再报警了!!
关注这种现象!
#8
那看来你 楼上的运气还不错~~
有的人 一联几天 都是这样!
我还装了 norton internet security+ nortron antivirus
和其他的 防火墙 都没有事 发生
有的人 一联几天 都是这样!
我还装了 norton internet security+ nortron antivirus
和其他的 防火墙 都没有事 发生
#9
好像只有天网防火墙才出现这种现象,我的三个朋友装了天网今天都出现了这种现象!但具体原因还不是很清楚,又不像是中病毒!
#10
这是dking网友的另一帖,各位参考
如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒
DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE
如果正常,我就不是人了。。哈哈。。。这2个文件在WINS目录里。。
这决对不是玩笑!!! 我是玩HACK的。。这文件我SNIFF过。。反编译过。。。我是黑客圈里叫[D]KING
如果有什么问题,,,你可以说
说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!!
如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研究可以在这里下
http://************/******
传染是利用TFTP上传的,,如果大家用不上这东东。完全可以删除TFTP.EXE
正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!
这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING
如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒
DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE
如果正常,我就不是人了。。哈哈。。。这2个文件在WINS目录里。。
这决对不是玩笑!!! 我是玩HACK的。。这文件我SNIFF过。。反编译过。。。我是黑客圈里叫[D]KING
如果有什么问题,,,你可以说
说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!!
如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研究可以在这里下
http://************/******
传染是利用TFTP上传的,,如果大家用不上这东东。完全可以删除TFTP.EXE
正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!
这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING
#11
中国人没事编什么破东西搞自己人呀
有本事去弄外国鬼子呀
NND,我就中了
有本事去弄外国鬼子呀
NND,我就中了
#12
晕!我也中了,中国人整整老外呀为什么欺负自己人呢?郁闷。
#13
* 检测是否被蠕虫感染:
检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.exe和svchost.exe文件,如果有,则说明您已经被感染。
* 暂时禁用DCOM
1、先断开网络连接,然后重新启动系统。
2、保持网络连接是断开的。点击左下角的“开始”菜单,选择“运行”,在其中键入“dcomcnfg”,点击“确定”,这样就打开了DCOM配置工具。(可能会出现几个弹出窗口的提示,可以一律点击确定。)
3、在“默认属性”页,取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。
4、这样我们就禁用了DCOM,您的系统不再受蠕虫的影响,您可以连上网络继续下面的安装补丁等操作,但是在安装完补丁之后,最好再启用DCOM,因为我们不知道您系统上是否有某些应用依赖于DCOM。
* 安装补丁:
安装Windows 2000 SP4(http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp)
和MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:
Windows NT 4.0 Server:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd
3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中删除键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
5、重新启动系统。
也可利用蠕虫检测系统时间,自动清除自身的特性,将系统时间改到2004年,然后重新启动系统,再将时间改回来。
检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.exe和svchost.exe文件,如果有,则说明您已经被感染。
* 暂时禁用DCOM
1、先断开网络连接,然后重新启动系统。
2、保持网络连接是断开的。点击左下角的“开始”菜单,选择“运行”,在其中键入“dcomcnfg”,点击“确定”,这样就打开了DCOM配置工具。(可能会出现几个弹出窗口的提示,可以一律点击确定。)
3、在“默认属性”页,取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。
4、这样我们就禁用了DCOM,您的系统不再受蠕虫的影响,您可以连上网络继续下面的安装补丁等操作,但是在安装完补丁之后,最好再启用DCOM,因为我们不知道您系统上是否有某些应用依赖于DCOM。
* 安装补丁:
安装Windows 2000 SP4(http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp)
和MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:
Windows NT 4.0 Server:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd
3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中删除键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
5、重新启动系统。
也可利用蠕虫检测系统时间,自动清除自身的特性,将系统时间改到2004年,然后重新启动系统,再将时间改回来。
#14
蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置为:“Network Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将自身拷贝到%systemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示名称设为“WINS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用程序也可以看到。
然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的小写字母“a”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。
该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。
蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。
有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。
蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins
然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的小写字母“a”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。
该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。
蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。
有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。
蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins
#15
我晕,这个蠕虫可以治冲击波哟.
怎么能说是
~~~~~
中国人没事编什么破东西搞自己人呀
有本事去弄外国鬼子呀
~~~~~
呢,我靠,有本事你写一个呀.而且是利用DCOM RPC溢出和WebDAV溢出攻击的.老外也一样要中招呀.
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
声 明:以上两篇都是从绿盟转的,完整文章在这里
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=29
怎么能说是
~~~~~
中国人没事编什么破东西搞自己人呀
有本事去弄外国鬼子呀
~~~~~
呢,我靠,有本事你写一个呀.而且是利用DCOM RPC溢出和WebDAV溢出攻击的.老外也一样要中招呀.
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
声 明:以上两篇都是从绿盟转的,完整文章在这里
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=29
#16
关注ing
#17
中了 会出现什么症状?对机器有什么影响?
#18
我也中招了。前天重新安装的系统,昨天就中招了
#19
我的进程管理里面有4个svchost,svchost local service 5020k
svchost network 3848k
svchost system 20120k
svchost system 5004k
windws\system32\wins 什么也没有
svchost 只要一启动就存在
svchost network 3848k
svchost system 20120k
svchost system 5004k
windws\system32\wins 什么也没有
svchost 只要一启动就存在
#20
DLLHOST.EXE在:C:\WINDOWS\SYSTEM32 长度是:5.76KB
dllhost.exe在:C:\WINDOWS\ServicePackFiles\i386 长度是:5.76KB
dllhost.exe在:C:\WINDOWS\$ntservicepackuninstall$ 长度是:5.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32 长度是:7.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32\dllcache 长度是:7.76KB
是这两个吗?
dllhost.exe在:C:\WINDOWS\ServicePackFiles\i386 长度是:5.76KB
dllhost.exe在:C:\WINDOWS\$ntservicepackuninstall$ 长度是:5.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32 长度是:7.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32\dllcache 长度是:7.76KB
是这两个吗?
#21
我也windws\system32\wins中什么也没有,可两天来,不停的被人ping
#22
http://www.duba.net/c/2003/08/18/89650.shtml
大家去这里看看
据说是"冲击波"一种 新得变种
大家去这里看看
据说是"冲击波"一种 新得变种
#23
"我在syetem32文件下找到DLLHOST.EXE 文件 但只有6K 找到SVCHOST.exe文件 但只有8K"
我机子的情况和wstfe(像只死猫)一样,但进程里有SVCHOST.exe文件,不过这两个文件都只是在system32下,而且机子今早才连上网络,好象没有什么问题,应该没中吧
我机子的情况和wstfe(像只死猫)一样,但进程里有SVCHOST.exe文件,不过这两个文件都只是在system32下,而且机子今早才连上网络,好象没有什么问题,应该没中吧
#24
妈的我机器里跟你说的一模一样。谢谢楼主!!!
#25
我的机器删了svchost.exe和dllhost.exe
补丁也打了,重起后还是不行。
用还日期(改成2004年1月1日)的方法也试了,还是不行!!
补丁也打了,重起后还是不行。
用还日期(改成2004年1月1日)的方法也试了,还是不行!!
#26
我的也中奖了,给windows打个补丁就好了
#27
呵呵!这个是"冲击波克星"是国人为我们办好事!可是很耗费资源!
#28
我靠,有本事你写一个呀.而且是利用DCOM RPC溢出和WebDAV溢出攻击的.老外也一样要中招呀.
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
靠什么靠
你景仰他搞病毒出来
有本事自己也去弄嘛
在这里讲脏话有个P用
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
靠什么靠
你景仰他搞病毒出来
有本事自己也去弄嘛
在这里讲脏话有个P用
#29
http://download.rising.com.cn/zsgj/ravblaster.exe
#30
我的 Win2K Server 老是不能安装呀
不过好像 WinXP 没有什么问题呀
不过好像 WinXP 没有什么问题呀
#31
蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
~~~~~~~~~~
抗日
~~~~~
to lele2002(拒绝网恋):你等到嘛.
~~~~~~~~~~
抗日
~~~~~
to lele2002(拒绝网恋):你等到嘛.
#32
我也中标了,用NORTON怎么也解决不了问题,但能发现病毒。
我进入纯DOS,把那两个东东给删了。我系统现在是WIN2000P+SP4,IE6.0+SP1,现在很好,没发现新的问题。
我进入纯DOS,把那两个东东给删了。我系统现在是WIN2000P+SP4,IE6.0+SP1,现在很好,没发现新的问题。
#33
谢谢楼主的提醒!
#34
http://www.duba.net/c/2003/08/19/89660.shtml
http://www.duba.net/c/2003/08/19/89860.shtml
新一轮的蠕虫爆发已然悄悄开始,据金山毒霸反病毒工程师介绍,此蠕虫主要还是通过RPC漏洞发起攻击,复制自身。但与前几例RPC蠕虫有这明显的不同之处,首先在于这个蠕虫侵入系统之后首先检测系统是否已经感染了“冲击波”病毒,如果感染了“冲击波”病毒,“冲击波克星”首先会将系统中的“冲击波”病毒清除的干干净净,并会尝试从微软网站上下载RPC漏洞补丁程序,将受感染的系统打上补丁。并随之开启开启上百个线程疯狂探测IP地址,如果ping通目标ip地址,就尝试通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。
"消耗大量CPU和网络资源"
看清楚,不要以为你是真的中奖了,天上掉馅饼,病毒的最终目的是什么你搞搞清楚!
http://www.duba.net/c/2003/08/19/89860.shtml
新一轮的蠕虫爆发已然悄悄开始,据金山毒霸反病毒工程师介绍,此蠕虫主要还是通过RPC漏洞发起攻击,复制自身。但与前几例RPC蠕虫有这明显的不同之处,首先在于这个蠕虫侵入系统之后首先检测系统是否已经感染了“冲击波”病毒,如果感染了“冲击波”病毒,“冲击波克星”首先会将系统中的“冲击波”病毒清除的干干净净,并会尝试从微软网站上下载RPC漏洞补丁程序,将受感染的系统打上补丁。并随之开启开启上百个线程疯狂探测IP地址,如果ping通目标ip地址,就尝试通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。
"消耗大量CPU和网络资源"
看清楚,不要以为你是真的中奖了,天上掉馅饼,病毒的最终目的是什么你搞搞清楚!
#35
是呀 是呀
本来发现它可以治冲击波 还觉得挺好玩
可是现在自己电脑比老牛拉破车还慢
只剩一个念头了 杀!!!
本来发现它可以治冲击波 还觉得挺好玩
可是现在自己电脑比老牛拉破车还慢
只剩一个念头了 杀!!!
#36
我现在的CPU 被使用有时会达到100%,该怎么办啊,~急!
而且,金山不能升级,它总说我的CD-KEY错误被盗用!
而且,金山不能升级,它总说我的CD-KEY错误被盗用!
#37
咱们中国人要中自己的病毒!!!
#38
各个病毒网站 有专杀工具!
#39
to lele2002(拒绝网恋):我晕,他为什么ping,只是想找到可用的机子.这根本不是他本意要消耗大量CPU和网络资源.只是他在这里设计有点不完善而已.
原理先搞清出先.
//faint!
原理先搞清出先.
//faint!
#40
gz
#41
太帅了,向编此程序的兄弟致本人最崇高的敬意,同时鄙视->你!!
TNND,咱们中国人也有自己牛B的病毒程序了,把他也传到国外去,让他丫的以前小看中国人。
见到日文版的就不会出现这种情况就不好了。
虽然我也受到了伤害,但是我看到了中国软件业的前途-->末卜!
哈哈,狂笑,且吐血二两!
TNND,咱们中国人也有自己牛B的病毒程序了,把他也传到国外去,让他丫的以前小看中国人。
见到日文版的就不会出现这种情况就不好了。
虽然我也受到了伤害,但是我看到了中国软件业的前途-->末卜!
哈哈,狂笑,且吐血二两!
#42
鄙视自以为是的人!
#43
敢情你是参与了病毒代码编写还是它的原理构造?
连它“根本不是本意要消耗大量CPU和网络资源”都知道?
哈哈!Z
连它“根本不是本意要消耗大量CPU和网络资源”都知道?
哈哈!Z
#44
感谢reddante(红色但丁)
在凌晨时分.....给我们送来最新最快的信息......2003-8-19 3:35:56
过两天就结帖 :)
在凌晨时分.....给我们送来最新最快的信息......2003-8-19 3:35:56
过两天就结帖 :)
#45
我也一样,怎么办呀???请大哥们帮帮我吧!!!
#46
我在服务里只找到这个:Network Connections
windws\system32\wins中什么也没有,可两天来,不停的被人ping
今天没有人ping了这是怎么回事呢??
但我的机子有时就会停住不动过个6秒差不多就可以了,有时黑一下然后就再恢复鼠标就变得很大
刷新一下就没有!
不知道这是显卡原因还是中奖的原因,
请各位分析一下!
windws\system32\wins中什么也没有,可两天来,不停的被人ping
今天没有人ping了这是怎么回事呢??
但我的机子有时就会停住不动过个6秒差不多就可以了,有时黑一下然后就再恢复鼠标就变得很大
刷新一下就没有!
不知道这是显卡原因还是中奖的原因,
请各位分析一下!
#47
建议搂主结贴
#48
其实在8月9号我就看到这篇文章了,cnhonker的lion写的.
名称: 对 RPC DCOM 蠕虫的设想
作者: lion <lion@cnhonker.net>
主页: http://www.cnhonker.com
日期: 2003/08/08
最近好象几乎每一个大的漏洞公布出来,接着都会有一个针对这个漏洞的蠕虫(worm) 流行,最近闹得很凶的 RPC DCOM 漏洞估计也即将成为 worm 的新传播载体。好象写 worm 是一个热门,很多人也觉得好奇,觉得 worm 是很深的一种技术,其实这个是很简单的编程游戏而已。我一直有个想法就是想写一篇关于 worm 的技术分析(---为了不教坏小孩子:),只是一直懒得提笔,本人对蠕虫的编写已经失去了兴趣,现在在新的 worm 风暴即将到来之前,我这里很简单分析一下蠕虫的相关技术,并对 RPC DCOM 蠕虫进行一些设想。大家当我是助“纣”为虐也好,故意卖弄也好,我觉得还是要写这篇文章,一年多没写过文章了,同时也了却了自己的一个心愿。你现在可以选择不继续往下看,但看完后不要对我吐口水。:)
一 什么叫蠕虫
首先从 spark <spark.bbs@bbs.nankai.edu.cn>的 《Internet蠕虫的定义和历史》文章中摘抄一段关于worm的解释: 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域[30],并给出了计算机蠕虫的两个最基本特征:"可以从一台计算机移动到另一台计算机"和"可以自我复制"。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已经初露端倪。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,"计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。" (worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。
由于这里不是向大家介绍蠕虫的定义和历史就不多说了,大家如果对这些感兴趣,可以到这里读 spark 的文章。http://www.nsfocus.net/index.php?act=magazine&;do=view&mid=1851
二 蠕虫的组成部分
一个蠕虫的组成其实很简单,由于我不是在这里教你们写蠕虫,也由于时间限制,我这里只简单的说一些。
我们可以把它看做一个工程,我们把这个工程分成 4 个模块:
1. 攻击模块
首先得需要有一个大量系统受影响的能被简单利用的严重漏洞,以便能够远程控制机器。比如猜测薄弱口令啊,远程溢出啊等。
2. 感染模块
考虑怎么让对方被攻击后,执行你想要实现的功能,完成对一个主机的感染。对远程溢出来说也就是完善shellcode了。这中间得考虑一个感染传播(繁殖)途径的问题。
3. 传播模块
比如,扫描一个网段有相关弱点的机器,存成一个文件,然后对这些IP进行攻击,或者随机生成IP然后对这些IP进行攻击等。
简单的说就是扫描薄弱的机器。
4. 功能模块
功能模块其实是一个可要可不要的模块,但如果你想对方感染蠕虫后还在对方加上后门/DDoS等其他功能时,就必须得要有这个啦。
其实,一个蠕虫成功的关键是一个攻击模块和感染模块。:)
三 常见的蠕虫的传播(繁殖)途经
具体就不深入了, 只简单列举一下:
1. email
2. ftp
3. http
4. netbios
5. tftp
6. rcp
7. 其他
四 RPC DCOM 漏洞介绍
RPC DCOM 漏洞是最近出的一个Windows系统的严重漏洞,也是有史以来最严重影响最广泛的Windows漏洞。
Remote Procedure Call (RPC)是运用于Windows操作系统上的一种协议。RPC提供相互处理通信机制,允许运行该程序的计算机在一个远程系统上执行代码。RPC协议本身源于OSF (Open Software Foundation) RPC协议,后来又另外增加了一些Microsoft专用扩展功能。RPC中处理TCP/IP信息交换的模块由于错误的处理畸形信息,远程攻击者可利用此缺陷以本地系统权限在系统上执行任意指令。该缺陷影响使用RPC的DCOM接口,此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此缺陷可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
这个漏洞影响如下Windows版本:
Microsoft Windows XP SP1a
Microsoft Windows XP SP1
Microsoft Windows XP
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP4
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000
可以看到, 此漏洞影响除了WinME以下版本的Windows系统之外的所有其他Windows系统。同时,此漏洞能够被攻击者远程利用,
在没有修补该漏洞的机器上可以远程执行任意代码,导致攻击者能够完全控制有漏洞的机器。
五 RPC DCOM 蠕虫的设想
1. 由于RPC COM已经有攻击未打补丁的Win2000/WinXP的通用攻击代码发布出来,因此该漏洞更有可能被利用制作成为能够感染具有RPC DCOM漏洞的Win2000/WinXP机器的蠕虫。
如PacketStorm上公布的这个对Win2000和WinXP通用的Exploit:
名称: 对 RPC DCOM 蠕虫的设想
作者: lion <lion@cnhonker.net>
主页: http://www.cnhonker.com
日期: 2003/08/08
最近好象几乎每一个大的漏洞公布出来,接着都会有一个针对这个漏洞的蠕虫(worm) 流行,最近闹得很凶的 RPC DCOM 漏洞估计也即将成为 worm 的新传播载体。好象写 worm 是一个热门,很多人也觉得好奇,觉得 worm 是很深的一种技术,其实这个是很简单的编程游戏而已。我一直有个想法就是想写一篇关于 worm 的技术分析(---为了不教坏小孩子:),只是一直懒得提笔,本人对蠕虫的编写已经失去了兴趣,现在在新的 worm 风暴即将到来之前,我这里很简单分析一下蠕虫的相关技术,并对 RPC DCOM 蠕虫进行一些设想。大家当我是助“纣”为虐也好,故意卖弄也好,我觉得还是要写这篇文章,一年多没写过文章了,同时也了却了自己的一个心愿。你现在可以选择不继续往下看,但看完后不要对我吐口水。:)
一 什么叫蠕虫
首先从 spark <spark.bbs@bbs.nankai.edu.cn>的 《Internet蠕虫的定义和历史》文章中摘抄一段关于worm的解释: 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域[30],并给出了计算机蠕虫的两个最基本特征:"可以从一台计算机移动到另一台计算机"和"可以自我复制"。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已经初露端倪。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,"计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。" (worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。
由于这里不是向大家介绍蠕虫的定义和历史就不多说了,大家如果对这些感兴趣,可以到这里读 spark 的文章。http://www.nsfocus.net/index.php?act=magazine&;do=view&mid=1851
二 蠕虫的组成部分
一个蠕虫的组成其实很简单,由于我不是在这里教你们写蠕虫,也由于时间限制,我这里只简单的说一些。
我们可以把它看做一个工程,我们把这个工程分成 4 个模块:
1. 攻击模块
首先得需要有一个大量系统受影响的能被简单利用的严重漏洞,以便能够远程控制机器。比如猜测薄弱口令啊,远程溢出啊等。
2. 感染模块
考虑怎么让对方被攻击后,执行你想要实现的功能,完成对一个主机的感染。对远程溢出来说也就是完善shellcode了。这中间得考虑一个感染传播(繁殖)途径的问题。
3. 传播模块
比如,扫描一个网段有相关弱点的机器,存成一个文件,然后对这些IP进行攻击,或者随机生成IP然后对这些IP进行攻击等。
简单的说就是扫描薄弱的机器。
4. 功能模块
功能模块其实是一个可要可不要的模块,但如果你想对方感染蠕虫后还在对方加上后门/DDoS等其他功能时,就必须得要有这个啦。
其实,一个蠕虫成功的关键是一个攻击模块和感染模块。:)
三 常见的蠕虫的传播(繁殖)途经
具体就不深入了, 只简单列举一下:
1. email
2. ftp
3. http
4. netbios
5. tftp
6. rcp
7. 其他
四 RPC DCOM 漏洞介绍
RPC DCOM 漏洞是最近出的一个Windows系统的严重漏洞,也是有史以来最严重影响最广泛的Windows漏洞。
Remote Procedure Call (RPC)是运用于Windows操作系统上的一种协议。RPC提供相互处理通信机制,允许运行该程序的计算机在一个远程系统上执行代码。RPC协议本身源于OSF (Open Software Foundation) RPC协议,后来又另外增加了一些Microsoft专用扩展功能。RPC中处理TCP/IP信息交换的模块由于错误的处理畸形信息,远程攻击者可利用此缺陷以本地系统权限在系统上执行任意指令。该缺陷影响使用RPC的DCOM接口,此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此缺陷可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
这个漏洞影响如下Windows版本:
Microsoft Windows XP SP1a
Microsoft Windows XP SP1
Microsoft Windows XP
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP4
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000
可以看到, 此漏洞影响除了WinME以下版本的Windows系统之外的所有其他Windows系统。同时,此漏洞能够被攻击者远程利用,
在没有修补该漏洞的机器上可以远程执行任意代码,导致攻击者能够完全控制有漏洞的机器。
五 RPC DCOM 蠕虫的设想
1. 由于RPC COM已经有攻击未打补丁的Win2000/WinXP的通用攻击代码发布出来,因此该漏洞更有可能被利用制作成为能够感染具有RPC DCOM漏洞的Win2000/WinXP机器的蠕虫。
如PacketStorm上公布的这个对Win2000和WinXP通用的Exploit:
#49
Exploit就不贴了.自己到相关网站上找.
~~~~~~~~~~~~~~~~
在测试过这个exploit后发现,其实研究后我们可以发现可以在所有Win2000和WinXP上的RET地址,这就解决了判断目标系统版本的问题,直接可以使用一种数据包成功攻击所有Win2000/WinXP。
我们只要简单的修改一下该exploit, 使之能自动产生随机IP地址,然后对这个IP进行攻击尝试,就可以完成worm的攻击模块。或者你可以先生成一个随机的C类地址,然后扫描这个C段里有多少机器是开放135端口的,然后从扫描结果里取数据,并对这个IP实行攻击尝试,可以加快传播的速度。这些其实修改起来其实非常的容易。
2. 通过过替换攻击代码的shellcode部分,爱好者很容易能够在目标机器上执行任意命令和功能。比如简单的在主机上添加一个管理员用户,开一个shell端口,反连一个shell或者使计算机自动从某一个FTP或者HTTP服务器自动下载程序并执行等。然后想要进一步深入,就可以在采用合适完美的shellcode上来做文章,达到最大的传播效果。如exec command shellcode, bind port shellcode, connect back shellcode, down file and exec shellcode, down url file and exec shellcode等,你容易在网上找到它,如hsj的ida溢出exploit里就有一个down file and exec shellcode等。这个有汇编基础的攻击者很容易实现。这里对上面谈到的shellcode类型分别做一个简单的比较,以找出RPC DCOM最可能利用的传播途径。
a. 通过添加一个管理员用户,可以很容易的用Netbios共享来远程共享传播文件。但有对防火墙过滤了Netbios或者主机上不存在共享的情况下,不大好利用,而且,RPC DCOM 的攻击代码溢出后获得的是system权限,想直接通过shellcode或者下载的程序来远程用Netbios拷贝文件比较困难,需要有一个system to user的权限转换模块,所以为了更高效的利用这个漏洞,达到传播快和速度大的 RPC DCOM 蠕虫不大可能利用这种技术。
b. 直接把命令写进shellcode里的话,简单快捷。甚至可以把所有需要用到的功能全写进shellcode里去,如年初扫荡全球的sql worm, 把攻击,感染,传播三个模块写到短短的200多个16进制代码里字节里实现。同样可以在里面加上下载程序并执行等功能。
c. 简单的开一个bind port shell, 你可以执行系统命令,比如echo写入一个脚本下载FTP站点里的程序并执行,甚至直接用TFTP下载程序等。这种方法执行命令,很简单,但每次攻击需要有两个连接,对系统开销比较大,而且可能受防火墙的影响也比较大,不宜采取。
d. 反连的shellcode跟bind port shell差不多,不过这个可以把反连的这个监听端口做成一个server形式,以便于接受多个连接,然后自动对每一个连接发送一些指令,使机器能完成传播。这个其实也是不错的,能突破不少防火墙,唯一的就是对禁止任何反连的防火墙没什么好办法。
e. 还记得hsj的ida溢出的exploit吧,该exploit监听一个端口,对目标溢出攻击成功后,目标系统反连攻击机的这个端口接受一个指定的文件并保存在本机硬盘上,然后执行,这其实跟反连shellcode差不多,只是一个是反连一个shell,另一个是反连回来取文件。这应该是蠕虫作者考虑中的传播途径。
f. 把程序放在某一个域名或者IP的FTP/HTTP站点里,所有感染的机器从这里取程序,下载到本地后执行。这种方法的好处是实现简单,而且可以很好的绕过防火墙,因为大多数的网络还是允许往外访问21/80端口的,而且可以很好的控制worm的版本和传播,把文件删掉就不会感染其他机器了,一般用于小规模感染。因为大规模感染的情况下,第一个倒下的是你的FTP/HTTP服务器。:)
g. Redcode/nimda的tftp下载程序方法,可以用在防火墙没有屏蔽udp的网络情况下,缺点是tftp传送文件太慢。居于Redcode/nimda的成功先例,这应该是蠕虫作者考虑中的传播途径。
h. 你自己*发挥想象力...
3. 如果RPC DCOM蠕虫,采用结合以上各种方法的优势,就可以完善一个能突破大多数防火墙的繁殖方式来,以使蠕虫能更好更快的得到传播,通过结合利用Redcode和nimda的相关技术,利用Redcode和nimda相同的tftp传播方法,尝试从攻击IP里tftp里下载一个程序,如果下载成功的话就执行,如果不成功,可以反连至该攻击IP的某一个端口接受文件,如果再不成功,可以开一个端口接收文件,再不成功,可以从FTP/HTTP站点下载文件...不过也得考虑你的shellcode的长度哦,呵呵。更多的,你自己*发挥想象力...
4. 加大蠕虫传播的途径,还可以考虑nimda的email, html, netbios共享等方法来进行繁殖和传播,做到这一点就可以把RPC DCOM做成一个继nimda后的第二个超级蠕虫。
5. 甚至可以结合病毒技术,感染exe文件,加大传播途径,做到这一点,RPC DCOM worm肯定是一个超过nimda的超级蠕虫。
6. 功能模块中,还可以加上木马功能或者DDoS功能,比如所有感染的机器同时向whitehouse,microsoft或者其他网站网站进行DDoS攻击,以完成更大的杀伤力。
十 RPC DCOM 蠕虫爆发前的防治工作
1. 为自己的主机打上微软发布的相关修补补丁。下面为补丁的相关下栽地址 :
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
2. 向用户宣传此漏洞的严重性和被蠕虫利用的危害性,促使用户修补该漏洞。
3. 在自己的路由器上封掉 TCP/135,UCP/135,甚至 TCP/139,UDP/139,TCP/445,UDP/445等RPC DCOM能利用的相关端口, 以阻断蠕虫的攻击和传播。
*** 花了两小时来写这篇文章, 此文仅用于表达我对 RPC DCOM 蠕虫的设想! :) ***
~~~~~~~~~~~~~~~~
在测试过这个exploit后发现,其实研究后我们可以发现可以在所有Win2000和WinXP上的RET地址,这就解决了判断目标系统版本的问题,直接可以使用一种数据包成功攻击所有Win2000/WinXP。
我们只要简单的修改一下该exploit, 使之能自动产生随机IP地址,然后对这个IP进行攻击尝试,就可以完成worm的攻击模块。或者你可以先生成一个随机的C类地址,然后扫描这个C段里有多少机器是开放135端口的,然后从扫描结果里取数据,并对这个IP实行攻击尝试,可以加快传播的速度。这些其实修改起来其实非常的容易。
2. 通过过替换攻击代码的shellcode部分,爱好者很容易能够在目标机器上执行任意命令和功能。比如简单的在主机上添加一个管理员用户,开一个shell端口,反连一个shell或者使计算机自动从某一个FTP或者HTTP服务器自动下载程序并执行等。然后想要进一步深入,就可以在采用合适完美的shellcode上来做文章,达到最大的传播效果。如exec command shellcode, bind port shellcode, connect back shellcode, down file and exec shellcode, down url file and exec shellcode等,你容易在网上找到它,如hsj的ida溢出exploit里就有一个down file and exec shellcode等。这个有汇编基础的攻击者很容易实现。这里对上面谈到的shellcode类型分别做一个简单的比较,以找出RPC DCOM最可能利用的传播途径。
a. 通过添加一个管理员用户,可以很容易的用Netbios共享来远程共享传播文件。但有对防火墙过滤了Netbios或者主机上不存在共享的情况下,不大好利用,而且,RPC DCOM 的攻击代码溢出后获得的是system权限,想直接通过shellcode或者下载的程序来远程用Netbios拷贝文件比较困难,需要有一个system to user的权限转换模块,所以为了更高效的利用这个漏洞,达到传播快和速度大的 RPC DCOM 蠕虫不大可能利用这种技术。
b. 直接把命令写进shellcode里的话,简单快捷。甚至可以把所有需要用到的功能全写进shellcode里去,如年初扫荡全球的sql worm, 把攻击,感染,传播三个模块写到短短的200多个16进制代码里字节里实现。同样可以在里面加上下载程序并执行等功能。
c. 简单的开一个bind port shell, 你可以执行系统命令,比如echo写入一个脚本下载FTP站点里的程序并执行,甚至直接用TFTP下载程序等。这种方法执行命令,很简单,但每次攻击需要有两个连接,对系统开销比较大,而且可能受防火墙的影响也比较大,不宜采取。
d. 反连的shellcode跟bind port shell差不多,不过这个可以把反连的这个监听端口做成一个server形式,以便于接受多个连接,然后自动对每一个连接发送一些指令,使机器能完成传播。这个其实也是不错的,能突破不少防火墙,唯一的就是对禁止任何反连的防火墙没什么好办法。
e. 还记得hsj的ida溢出的exploit吧,该exploit监听一个端口,对目标溢出攻击成功后,目标系统反连攻击机的这个端口接受一个指定的文件并保存在本机硬盘上,然后执行,这其实跟反连shellcode差不多,只是一个是反连一个shell,另一个是反连回来取文件。这应该是蠕虫作者考虑中的传播途径。
f. 把程序放在某一个域名或者IP的FTP/HTTP站点里,所有感染的机器从这里取程序,下载到本地后执行。这种方法的好处是实现简单,而且可以很好的绕过防火墙,因为大多数的网络还是允许往外访问21/80端口的,而且可以很好的控制worm的版本和传播,把文件删掉就不会感染其他机器了,一般用于小规模感染。因为大规模感染的情况下,第一个倒下的是你的FTP/HTTP服务器。:)
g. Redcode/nimda的tftp下载程序方法,可以用在防火墙没有屏蔽udp的网络情况下,缺点是tftp传送文件太慢。居于Redcode/nimda的成功先例,这应该是蠕虫作者考虑中的传播途径。
h. 你自己*发挥想象力...
3. 如果RPC DCOM蠕虫,采用结合以上各种方法的优势,就可以完善一个能突破大多数防火墙的繁殖方式来,以使蠕虫能更好更快的得到传播,通过结合利用Redcode和nimda的相关技术,利用Redcode和nimda相同的tftp传播方法,尝试从攻击IP里tftp里下载一个程序,如果下载成功的话就执行,如果不成功,可以反连至该攻击IP的某一个端口接受文件,如果再不成功,可以开一个端口接收文件,再不成功,可以从FTP/HTTP站点下载文件...不过也得考虑你的shellcode的长度哦,呵呵。更多的,你自己*发挥想象力...
4. 加大蠕虫传播的途径,还可以考虑nimda的email, html, netbios共享等方法来进行繁殖和传播,做到这一点就可以把RPC DCOM做成一个继nimda后的第二个超级蠕虫。
5. 甚至可以结合病毒技术,感染exe文件,加大传播途径,做到这一点,RPC DCOM worm肯定是一个超过nimda的超级蠕虫。
6. 功能模块中,还可以加上木马功能或者DDoS功能,比如所有感染的机器同时向whitehouse,microsoft或者其他网站网站进行DDoS攻击,以完成更大的杀伤力。
十 RPC DCOM 蠕虫爆发前的防治工作
1. 为自己的主机打上微软发布的相关修补补丁。下面为补丁的相关下栽地址 :
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
2. 向用户宣传此漏洞的严重性和被蠕虫利用的危害性,促使用户修补该漏洞。
3. 在自己的路由器上封掉 TCP/135,UCP/135,甚至 TCP/139,UDP/139,TCP/445,UDP/445等RPC DCOM能利用的相关端口, 以阻断蠕虫的攻击和传播。
*** 花了两小时来写这篇文章, 此文仅用于表达我对 RPC DCOM 蠕虫的设想! :) ***
#50
MARK
#1
..........
我也中了
我也中了
#2
你正在PING我!!!!!!!!!!!;)
我的防火墙日记快满乐.......眼看N多送到手上的肉鸡又要飞乐.......唉~~~~~~~~~~
我的防火墙日记快满乐.......眼看N多送到手上的肉鸡又要飞乐.......唉~~~~~~~~~~
#3
我的WINS 里面没有那些文件啊! 怎么还是一样 不听的PING!!
#4
呵呵 病毒开始猖狂了
#5
我的也是 每隔几秒就听见防火墙的警报声音!!!!!!!!!!!!!
#6
我在syetem32文件下找到DLLHOST.EXE 文件 但只有6K 找到SVCHOST.exe文件 但只有8K
在服务里没有见到这两个程序 这应该是正常的吧
在服务里没有见到这两个程序 这应该是正常的吧
#7
今天下午确实防火墙不断的在报警,但好像没有发现那两个文件,SVCHOST.EXE我的进程里有好几个,但都是200k-300k,没有19.2k的!
但如果中毒的话,应该下次开机又会出现,而当我晚上开机的时候,防火墙没有再报警了!!
关注这种现象!
但如果中毒的话,应该下次开机又会出现,而当我晚上开机的时候,防火墙没有再报警了!!
关注这种现象!
#8
那看来你 楼上的运气还不错~~
有的人 一联几天 都是这样!
我还装了 norton internet security+ nortron antivirus
和其他的 防火墙 都没有事 发生
有的人 一联几天 都是这样!
我还装了 norton internet security+ nortron antivirus
和其他的 防火墙 都没有事 发生
#9
好像只有天网防火墙才出现这种现象,我的三个朋友装了天网今天都出现了这种现象!但具体原因还不是很清楚,又不像是中病毒!
#10
这是dking网友的另一帖,各位参考
如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒
DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE
如果正常,我就不是人了。。哈哈。。。这2个文件在WINS目录里。。
这决对不是玩笑!!! 我是玩HACK的。。这文件我SNIFF过。。反编译过。。。我是黑客圈里叫[D]KING
如果有什么问题,,,你可以说
说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!!
如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研究可以在这里下
http://************/******
传染是利用TFTP上传的,,如果大家用不上这东东。完全可以删除TFTP.EXE
正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!
这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING
如果大家在自己 的system32 目录里的WINS目录里发现DLLHOST.EXE 和SVCHOST.EXE那么你肯定中毒了。。请自己在启动里删除。。并且删除这2个文件。。传染比较快。。希望大家安装防护墙,,这是中国人自己编译的病毒
DLLHOST.EXE里面有这样的话!
=========== I love my wife & baby ~~~ Welcome Chian~~~ Notice: 2004 will remove myself~~ sorry zhongli~~~=========== wins http://download.microsoft.com/download/6/9...980-x86-KOR.exe ; http://download.microsoft.com/download/5/8...980-x86-CHT.exe ; http://download.microsoft.com/download/2/8...980-x86-CHS.exe ; http://download.microsoft.com/download/0/1...980-x86-ENU.exe ; http://download.microsoft.com/download/e/3...980-x86-KOR.exe ; http://download.microsoft.com/download/2/3...980-x86-CHT.exe ; http://download.microsoft.com/download/a/a...980-x86-CHS.exe ; http://download.microsoft.com/download/9/8...980-x86-ENU.exe ; tftp -i %s get svchost.exe wins\SVCHOST.EXE
如果正常,我就不是人了。。哈哈。。。这2个文件在WINS目录里。。
这决对不是玩笑!!! 我是玩HACK的。。这文件我SNIFF过。。反编译过。。。我是黑客圈里叫[D]KING
如果有什么问题,,,你可以说
说清楚..这2个文件肯定又会给网络安全打一针强心剂!!!!
如果是XP系统,那么这文件应该是在*:\WINDOWS\SYSTEM32\WINS\里
如果是NT系统..比如2000.那么就应该是在*:\winnt\system32\wins\里
这2个文件大家想研究可以在这里下
http://************/******
传染是利用TFTP上传的,,如果大家用不上这东东。完全可以删除TFTP.EXE
正常的SVCHOST.EXE是在SYSTEM32目录里...这个2个文件决对不正常,希望大家警惕
如果你的防护墙被PING..那么你那里有一定有机器中了!!
这东西只攻击PING的通的计算机..希望大家安装防护墙!!!设置不允许被PING
#11
中国人没事编什么破东西搞自己人呀
有本事去弄外国鬼子呀
NND,我就中了
有本事去弄外国鬼子呀
NND,我就中了
#12
晕!我也中了,中国人整整老外呀为什么欺负自己人呢?郁闷。
#13
* 检测是否被蠕虫感染:
检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.exe和svchost.exe文件,如果有,则说明您已经被感染。
* 暂时禁用DCOM
1、先断开网络连接,然后重新启动系统。
2、保持网络连接是断开的。点击左下角的“开始”菜单,选择“运行”,在其中键入“dcomcnfg”,点击“确定”,这样就打开了DCOM配置工具。(可能会出现几个弹出窗口的提示,可以一律点击确定。)
3、在“默认属性”页,取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。
4、这样我们就禁用了DCOM,您的系统不再受蠕虫的影响,您可以连上网络继续下面的安装补丁等操作,但是在安装完补丁之后,最好再启用DCOM,因为我们不知道您系统上是否有某些应用依赖于DCOM。
* 安装补丁:
安装Windows 2000 SP4(http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp)
和MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:
Windows NT 4.0 Server:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd
3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中删除键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
5、重新启动系统。
也可利用蠕虫检测系统时间,自动清除自身的特性,将系统时间改到2004年,然后重新启动系统,再将时间改回来。
检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.exe和svchost.exe文件,如果有,则说明您已经被感染。
* 暂时禁用DCOM
1、先断开网络连接,然后重新启动系统。
2、保持网络连接是断开的。点击左下角的“开始”菜单,选择“运行”,在其中键入“dcomcnfg”,点击“确定”,这样就打开了DCOM配置工具。(可能会出现几个弹出窗口的提示,可以一律点击确定。)
3、在“默认属性”页,取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。
4、这样我们就禁用了DCOM,您的系统不再受蠕虫的影响,您可以连上网络继续下面的安装补丁等操作,但是在安装完补丁之后,最好再启用DCOM,因为我们不知道您系统上是否有某些应用依赖于DCOM。
* 安装补丁:
安装Windows 2000 SP4(http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp)
和MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:
Windows NT 4.0 Server:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“cmd”,点击“确定”。这样就启动了命令提示符。在其中键入:
net stop RpcPatch
net stop RpcTftpd
3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中删除键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
5、重新启动系统。
也可利用蠕虫检测系统时间,自动清除自身的特性,将系统时间改到2004年,然后重新启动系统,再将时间改回来。
#14
蠕虫感染系统后首先将%systemroot%\system32\dllcache\tftpd.exe拷贝到%systemroot%\system32\wins\svchost.exe,创建服务“RpcTftpd”,显示名称设置为:“Network Connections Sharing”,并将MSDTC服务的描述信息复制给自己;再将自身拷贝到%systemroot%\system32\wins\dllhost.exe,创建服务“RpcPatch”,显示名称设为“WINS Client”,并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后,用net start命令可以看到,用其他服务管理实用程序也可以看到。
然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的小写字母“a”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。
该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。
蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。
有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。
蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins
然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
检测是否有名为“RpcPatch_Mute”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机,发送的ICMP报文类型为echo,总大小为92字节,数据区为64字节的小写字母“a”。由于发送的ICMP流量很大,可导致网络阻塞。这是蠕虫的主要危害。
一旦找到存活主机,就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口,等待目标主机回连,连接成功后首先发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,则“copy dllcache\tftpd.exe wins\svchost.exe”,如果没有,就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功,若成功,就执行,不成功则退出。
该蠕虫还利用了WebDAV漏洞,如果目标主机存在该漏洞,既使在防火墙上阻塞了TCP/135端口,也会受影响。
蠕虫会检测系统时间,如果系统时间是2004年,就自动清除自身。
有趣的是,该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程,如果有就将其清除,如果system32目录下有msblast.exe文件,就删除。
蠕虫代码中还包含以下数据:
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~=========== wins
#15
我晕,这个蠕虫可以治冲击波哟.
怎么能说是
~~~~~
中国人没事编什么破东西搞自己人呀
有本事去弄外国鬼子呀
~~~~~
呢,我靠,有本事你写一个呀.而且是利用DCOM RPC溢出和WebDAV溢出攻击的.老外也一样要中招呀.
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
声 明:以上两篇都是从绿盟转的,完整文章在这里
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=29
怎么能说是
~~~~~
中国人没事编什么破东西搞自己人呀
有本事去弄外国鬼子呀
~~~~~
呢,我靠,有本事你写一个呀.而且是利用DCOM RPC溢出和WebDAV溢出攻击的.老外也一样要中招呀.
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
声 明:以上两篇都是从绿盟转的,完整文章在这里
http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=29
#16
关注ing
#17
中了 会出现什么症状?对机器有什么影响?
#18
我也中招了。前天重新安装的系统,昨天就中招了
#19
我的进程管理里面有4个svchost,svchost local service 5020k
svchost network 3848k
svchost system 20120k
svchost system 5004k
windws\system32\wins 什么也没有
svchost 只要一启动就存在
svchost network 3848k
svchost system 20120k
svchost system 5004k
windws\system32\wins 什么也没有
svchost 只要一启动就存在
#20
DLLHOST.EXE在:C:\WINDOWS\SYSTEM32 长度是:5.76KB
dllhost.exe在:C:\WINDOWS\ServicePackFiles\i386 长度是:5.76KB
dllhost.exe在:C:\WINDOWS\$ntservicepackuninstall$ 长度是:5.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32 长度是:7.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32\dllcache 长度是:7.76KB
是这两个吗?
dllhost.exe在:C:\WINDOWS\ServicePackFiles\i386 长度是:5.76KB
dllhost.exe在:C:\WINDOWS\$ntservicepackuninstall$ 长度是:5.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32 长度是:7.76KB
svchost.exe在:C:\WINDOWS\SYSTEM32\dllcache 长度是:7.76KB
是这两个吗?
#21
我也windws\system32\wins中什么也没有,可两天来,不停的被人ping
#22
http://www.duba.net/c/2003/08/18/89650.shtml
大家去这里看看
据说是"冲击波"一种 新得变种
大家去这里看看
据说是"冲击波"一种 新得变种
#23
"我在syetem32文件下找到DLLHOST.EXE 文件 但只有6K 找到SVCHOST.exe文件 但只有8K"
我机子的情况和wstfe(像只死猫)一样,但进程里有SVCHOST.exe文件,不过这两个文件都只是在system32下,而且机子今早才连上网络,好象没有什么问题,应该没中吧
我机子的情况和wstfe(像只死猫)一样,但进程里有SVCHOST.exe文件,不过这两个文件都只是在system32下,而且机子今早才连上网络,好象没有什么问题,应该没中吧
#24
妈的我机器里跟你说的一模一样。谢谢楼主!!!
#25
我的机器删了svchost.exe和dllhost.exe
补丁也打了,重起后还是不行。
用还日期(改成2004年1月1日)的方法也试了,还是不行!!
补丁也打了,重起后还是不行。
用还日期(改成2004年1月1日)的方法也试了,还是不行!!
#26
我的也中奖了,给windows打个补丁就好了
#27
呵呵!这个是"冲击波克星"是国人为我们办好事!可是很耗费资源!
#28
我靠,有本事你写一个呀.而且是利用DCOM RPC溢出和WebDAV溢出攻击的.老外也一样要中招呀.
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
靠什么靠
你景仰他搞病毒出来
有本事自己也去弄嘛
在这里讲脏话有个P用
蠕虫又没有 cmd /v 怎样的代码,怎么能说是只攻击中文版的呢?
靠!
靠什么靠
你景仰他搞病毒出来
有本事自己也去弄嘛
在这里讲脏话有个P用
#29
http://download.rising.com.cn/zsgj/ravblaster.exe
#30
我的 Win2K Server 老是不能安装呀
不过好像 WinXP 没有什么问题呀
不过好像 WinXP 没有什么问题呀
#31
蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁,并用-n -o -z -q的参数来安装,-n表示不创建备份文件,-o表示覆盖文件不提示,-z表示安装完后不重新启动,-q表示安静模式。如果是日文版,则不作修复。
~~~~~~~~~~
抗日
~~~~~
to lele2002(拒绝网恋):你等到嘛.
~~~~~~~~~~
抗日
~~~~~
to lele2002(拒绝网恋):你等到嘛.
#32
我也中标了,用NORTON怎么也解决不了问题,但能发现病毒。
我进入纯DOS,把那两个东东给删了。我系统现在是WIN2000P+SP4,IE6.0+SP1,现在很好,没发现新的问题。
我进入纯DOS,把那两个东东给删了。我系统现在是WIN2000P+SP4,IE6.0+SP1,现在很好,没发现新的问题。
#33
谢谢楼主的提醒!
#34
http://www.duba.net/c/2003/08/19/89660.shtml
http://www.duba.net/c/2003/08/19/89860.shtml
新一轮的蠕虫爆发已然悄悄开始,据金山毒霸反病毒工程师介绍,此蠕虫主要还是通过RPC漏洞发起攻击,复制自身。但与前几例RPC蠕虫有这明显的不同之处,首先在于这个蠕虫侵入系统之后首先检测系统是否已经感染了“冲击波”病毒,如果感染了“冲击波”病毒,“冲击波克星”首先会将系统中的“冲击波”病毒清除的干干净净,并会尝试从微软网站上下载RPC漏洞补丁程序,将受感染的系统打上补丁。并随之开启开启上百个线程疯狂探测IP地址,如果ping通目标ip地址,就尝试通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。
"消耗大量CPU和网络资源"
看清楚,不要以为你是真的中奖了,天上掉馅饼,病毒的最终目的是什么你搞搞清楚!
http://www.duba.net/c/2003/08/19/89860.shtml
新一轮的蠕虫爆发已然悄悄开始,据金山毒霸反病毒工程师介绍,此蠕虫主要还是通过RPC漏洞发起攻击,复制自身。但与前几例RPC蠕虫有这明显的不同之处,首先在于这个蠕虫侵入系统之后首先检测系统是否已经感染了“冲击波”病毒,如果感染了“冲击波”病毒,“冲击波克星”首先会将系统中的“冲击波”病毒清除的干干净净,并会尝试从微软网站上下载RPC漏洞补丁程序,将受感染的系统打上补丁。并随之开启开启上百个线程疯狂探测IP地址,如果ping通目标ip地址,就尝试通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。
"消耗大量CPU和网络资源"
看清楚,不要以为你是真的中奖了,天上掉馅饼,病毒的最终目的是什么你搞搞清楚!
#35
是呀 是呀
本来发现它可以治冲击波 还觉得挺好玩
可是现在自己电脑比老牛拉破车还慢
只剩一个念头了 杀!!!
本来发现它可以治冲击波 还觉得挺好玩
可是现在自己电脑比老牛拉破车还慢
只剩一个念头了 杀!!!
#36
我现在的CPU 被使用有时会达到100%,该怎么办啊,~急!
而且,金山不能升级,它总说我的CD-KEY错误被盗用!
而且,金山不能升级,它总说我的CD-KEY错误被盗用!
#37
咱们中国人要中自己的病毒!!!
#38
各个病毒网站 有专杀工具!
#39
to lele2002(拒绝网恋):我晕,他为什么ping,只是想找到可用的机子.这根本不是他本意要消耗大量CPU和网络资源.只是他在这里设计有点不完善而已.
原理先搞清出先.
//faint!
原理先搞清出先.
//faint!
#40
gz
#41
太帅了,向编此程序的兄弟致本人最崇高的敬意,同时鄙视->你!!
TNND,咱们中国人也有自己牛B的病毒程序了,把他也传到国外去,让他丫的以前小看中国人。
见到日文版的就不会出现这种情况就不好了。
虽然我也受到了伤害,但是我看到了中国软件业的前途-->末卜!
哈哈,狂笑,且吐血二两!
TNND,咱们中国人也有自己牛B的病毒程序了,把他也传到国外去,让他丫的以前小看中国人。
见到日文版的就不会出现这种情况就不好了。
虽然我也受到了伤害,但是我看到了中国软件业的前途-->末卜!
哈哈,狂笑,且吐血二两!
#42
鄙视自以为是的人!
#43
敢情你是参与了病毒代码编写还是它的原理构造?
连它“根本不是本意要消耗大量CPU和网络资源”都知道?
哈哈!Z
连它“根本不是本意要消耗大量CPU和网络资源”都知道?
哈哈!Z
#44
感谢reddante(红色但丁)
在凌晨时分.....给我们送来最新最快的信息......2003-8-19 3:35:56
过两天就结帖 :)
在凌晨时分.....给我们送来最新最快的信息......2003-8-19 3:35:56
过两天就结帖 :)
#45
我也一样,怎么办呀???请大哥们帮帮我吧!!!
#46
我在服务里只找到这个:Network Connections
windws\system32\wins中什么也没有,可两天来,不停的被人ping
今天没有人ping了这是怎么回事呢??
但我的机子有时就会停住不动过个6秒差不多就可以了,有时黑一下然后就再恢复鼠标就变得很大
刷新一下就没有!
不知道这是显卡原因还是中奖的原因,
请各位分析一下!
windws\system32\wins中什么也没有,可两天来,不停的被人ping
今天没有人ping了这是怎么回事呢??
但我的机子有时就会停住不动过个6秒差不多就可以了,有时黑一下然后就再恢复鼠标就变得很大
刷新一下就没有!
不知道这是显卡原因还是中奖的原因,
请各位分析一下!
#47
建议搂主结贴
#48
其实在8月9号我就看到这篇文章了,cnhonker的lion写的.
名称: 对 RPC DCOM 蠕虫的设想
作者: lion <lion@cnhonker.net>
主页: http://www.cnhonker.com
日期: 2003/08/08
最近好象几乎每一个大的漏洞公布出来,接着都会有一个针对这个漏洞的蠕虫(worm) 流行,最近闹得很凶的 RPC DCOM 漏洞估计也即将成为 worm 的新传播载体。好象写 worm 是一个热门,很多人也觉得好奇,觉得 worm 是很深的一种技术,其实这个是很简单的编程游戏而已。我一直有个想法就是想写一篇关于 worm 的技术分析(---为了不教坏小孩子:),只是一直懒得提笔,本人对蠕虫的编写已经失去了兴趣,现在在新的 worm 风暴即将到来之前,我这里很简单分析一下蠕虫的相关技术,并对 RPC DCOM 蠕虫进行一些设想。大家当我是助“纣”为虐也好,故意卖弄也好,我觉得还是要写这篇文章,一年多没写过文章了,同时也了却了自己的一个心愿。你现在可以选择不继续往下看,但看完后不要对我吐口水。:)
一 什么叫蠕虫
首先从 spark <spark.bbs@bbs.nankai.edu.cn>的 《Internet蠕虫的定义和历史》文章中摘抄一段关于worm的解释: 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域[30],并给出了计算机蠕虫的两个最基本特征:"可以从一台计算机移动到另一台计算机"和"可以自我复制"。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已经初露端倪。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,"计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。" (worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。
由于这里不是向大家介绍蠕虫的定义和历史就不多说了,大家如果对这些感兴趣,可以到这里读 spark 的文章。http://www.nsfocus.net/index.php?act=magazine&;do=view&mid=1851
二 蠕虫的组成部分
一个蠕虫的组成其实很简单,由于我不是在这里教你们写蠕虫,也由于时间限制,我这里只简单的说一些。
我们可以把它看做一个工程,我们把这个工程分成 4 个模块:
1. 攻击模块
首先得需要有一个大量系统受影响的能被简单利用的严重漏洞,以便能够远程控制机器。比如猜测薄弱口令啊,远程溢出啊等。
2. 感染模块
考虑怎么让对方被攻击后,执行你想要实现的功能,完成对一个主机的感染。对远程溢出来说也就是完善shellcode了。这中间得考虑一个感染传播(繁殖)途径的问题。
3. 传播模块
比如,扫描一个网段有相关弱点的机器,存成一个文件,然后对这些IP进行攻击,或者随机生成IP然后对这些IP进行攻击等。
简单的说就是扫描薄弱的机器。
4. 功能模块
功能模块其实是一个可要可不要的模块,但如果你想对方感染蠕虫后还在对方加上后门/DDoS等其他功能时,就必须得要有这个啦。
其实,一个蠕虫成功的关键是一个攻击模块和感染模块。:)
三 常见的蠕虫的传播(繁殖)途经
具体就不深入了, 只简单列举一下:
1. email
2. ftp
3. http
4. netbios
5. tftp
6. rcp
7. 其他
四 RPC DCOM 漏洞介绍
RPC DCOM 漏洞是最近出的一个Windows系统的严重漏洞,也是有史以来最严重影响最广泛的Windows漏洞。
Remote Procedure Call (RPC)是运用于Windows操作系统上的一种协议。RPC提供相互处理通信机制,允许运行该程序的计算机在一个远程系统上执行代码。RPC协议本身源于OSF (Open Software Foundation) RPC协议,后来又另外增加了一些Microsoft专用扩展功能。RPC中处理TCP/IP信息交换的模块由于错误的处理畸形信息,远程攻击者可利用此缺陷以本地系统权限在系统上执行任意指令。该缺陷影响使用RPC的DCOM接口,此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此缺陷可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
这个漏洞影响如下Windows版本:
Microsoft Windows XP SP1a
Microsoft Windows XP SP1
Microsoft Windows XP
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP4
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000
可以看到, 此漏洞影响除了WinME以下版本的Windows系统之外的所有其他Windows系统。同时,此漏洞能够被攻击者远程利用,
在没有修补该漏洞的机器上可以远程执行任意代码,导致攻击者能够完全控制有漏洞的机器。
五 RPC DCOM 蠕虫的设想
1. 由于RPC COM已经有攻击未打补丁的Win2000/WinXP的通用攻击代码发布出来,因此该漏洞更有可能被利用制作成为能够感染具有RPC DCOM漏洞的Win2000/WinXP机器的蠕虫。
如PacketStorm上公布的这个对Win2000和WinXP通用的Exploit:
名称: 对 RPC DCOM 蠕虫的设想
作者: lion <lion@cnhonker.net>
主页: http://www.cnhonker.com
日期: 2003/08/08
最近好象几乎每一个大的漏洞公布出来,接着都会有一个针对这个漏洞的蠕虫(worm) 流行,最近闹得很凶的 RPC DCOM 漏洞估计也即将成为 worm 的新传播载体。好象写 worm 是一个热门,很多人也觉得好奇,觉得 worm 是很深的一种技术,其实这个是很简单的编程游戏而已。我一直有个想法就是想写一篇关于 worm 的技术分析(---为了不教坏小孩子:),只是一直懒得提笔,本人对蠕虫的编写已经失去了兴趣,现在在新的 worm 风暴即将到来之前,我这里很简单分析一下蠕虫的相关技术,并对 RPC DCOM 蠕虫进行一些设想。大家当我是助“纣”为虐也好,故意卖弄也好,我觉得还是要写这篇文章,一年多没写过文章了,同时也了却了自己的一个心愿。你现在可以选择不继续往下看,但看完后不要对我吐口水。:)
一 什么叫蠕虫
首先从 spark <spark.bbs@bbs.nankai.edu.cn>的 《Internet蠕虫的定义和历史》文章中摘抄一段关于worm的解释: 蠕虫这个生物学名词在1982年由Xerox PARC 的John F. Shoch等人最早引入计算机领域[30],并给出了计算机蠕虫的两个最基本特征:"可以从一台计算机移动到另一台计算机"和"可以自我复制"。他们编写蠕虫的目的是做分布式计算的模型试验,在他们的文章中,蠕虫的破坏性和不易控制已经初露端倪。1988年Morris蠕虫爆发后,Eugene H. Spafford 为了区分蠕虫和病毒,给出了蠕虫的技术角度的定义,"计算机蠕虫可以独立运行,并能把自身的一个包含所有功能的版本传播到另外的计算机上。" (worm is a program that can run by itself and can propagate a fully working version of itself to other machines. )。
由于这里不是向大家介绍蠕虫的定义和历史就不多说了,大家如果对这些感兴趣,可以到这里读 spark 的文章。http://www.nsfocus.net/index.php?act=magazine&;do=view&mid=1851
二 蠕虫的组成部分
一个蠕虫的组成其实很简单,由于我不是在这里教你们写蠕虫,也由于时间限制,我这里只简单的说一些。
我们可以把它看做一个工程,我们把这个工程分成 4 个模块:
1. 攻击模块
首先得需要有一个大量系统受影响的能被简单利用的严重漏洞,以便能够远程控制机器。比如猜测薄弱口令啊,远程溢出啊等。
2. 感染模块
考虑怎么让对方被攻击后,执行你想要实现的功能,完成对一个主机的感染。对远程溢出来说也就是完善shellcode了。这中间得考虑一个感染传播(繁殖)途径的问题。
3. 传播模块
比如,扫描一个网段有相关弱点的机器,存成一个文件,然后对这些IP进行攻击,或者随机生成IP然后对这些IP进行攻击等。
简单的说就是扫描薄弱的机器。
4. 功能模块
功能模块其实是一个可要可不要的模块,但如果你想对方感染蠕虫后还在对方加上后门/DDoS等其他功能时,就必须得要有这个啦。
其实,一个蠕虫成功的关键是一个攻击模块和感染模块。:)
三 常见的蠕虫的传播(繁殖)途经
具体就不深入了, 只简单列举一下:
1. email
2. ftp
3. http
4. netbios
5. tftp
6. rcp
7. 其他
四 RPC DCOM 漏洞介绍
RPC DCOM 漏洞是最近出的一个Windows系统的严重漏洞,也是有史以来最严重影响最广泛的Windows漏洞。
Remote Procedure Call (RPC)是运用于Windows操作系统上的一种协议。RPC提供相互处理通信机制,允许运行该程序的计算机在一个远程系统上执行代码。RPC协议本身源于OSF (Open Software Foundation) RPC协议,后来又另外增加了一些Microsoft专用扩展功能。RPC中处理TCP/IP信息交换的模块由于错误的处理畸形信息,远程攻击者可利用此缺陷以本地系统权限在系统上执行任意指令。该缺陷影响使用RPC的DCOM接口,此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此缺陷可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
这个漏洞影响如下Windows版本:
Microsoft Windows XP SP1a
Microsoft Windows XP SP1
Microsoft Windows XP
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP4
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000
可以看到, 此漏洞影响除了WinME以下版本的Windows系统之外的所有其他Windows系统。同时,此漏洞能够被攻击者远程利用,
在没有修补该漏洞的机器上可以远程执行任意代码,导致攻击者能够完全控制有漏洞的机器。
五 RPC DCOM 蠕虫的设想
1. 由于RPC COM已经有攻击未打补丁的Win2000/WinXP的通用攻击代码发布出来,因此该漏洞更有可能被利用制作成为能够感染具有RPC DCOM漏洞的Win2000/WinXP机器的蠕虫。
如PacketStorm上公布的这个对Win2000和WinXP通用的Exploit:
#49
Exploit就不贴了.自己到相关网站上找.
~~~~~~~~~~~~~~~~
在测试过这个exploit后发现,其实研究后我们可以发现可以在所有Win2000和WinXP上的RET地址,这就解决了判断目标系统版本的问题,直接可以使用一种数据包成功攻击所有Win2000/WinXP。
我们只要简单的修改一下该exploit, 使之能自动产生随机IP地址,然后对这个IP进行攻击尝试,就可以完成worm的攻击模块。或者你可以先生成一个随机的C类地址,然后扫描这个C段里有多少机器是开放135端口的,然后从扫描结果里取数据,并对这个IP实行攻击尝试,可以加快传播的速度。这些其实修改起来其实非常的容易。
2. 通过过替换攻击代码的shellcode部分,爱好者很容易能够在目标机器上执行任意命令和功能。比如简单的在主机上添加一个管理员用户,开一个shell端口,反连一个shell或者使计算机自动从某一个FTP或者HTTP服务器自动下载程序并执行等。然后想要进一步深入,就可以在采用合适完美的shellcode上来做文章,达到最大的传播效果。如exec command shellcode, bind port shellcode, connect back shellcode, down file and exec shellcode, down url file and exec shellcode等,你容易在网上找到它,如hsj的ida溢出exploit里就有一个down file and exec shellcode等。这个有汇编基础的攻击者很容易实现。这里对上面谈到的shellcode类型分别做一个简单的比较,以找出RPC DCOM最可能利用的传播途径。
a. 通过添加一个管理员用户,可以很容易的用Netbios共享来远程共享传播文件。但有对防火墙过滤了Netbios或者主机上不存在共享的情况下,不大好利用,而且,RPC DCOM 的攻击代码溢出后获得的是system权限,想直接通过shellcode或者下载的程序来远程用Netbios拷贝文件比较困难,需要有一个system to user的权限转换模块,所以为了更高效的利用这个漏洞,达到传播快和速度大的 RPC DCOM 蠕虫不大可能利用这种技术。
b. 直接把命令写进shellcode里的话,简单快捷。甚至可以把所有需要用到的功能全写进shellcode里去,如年初扫荡全球的sql worm, 把攻击,感染,传播三个模块写到短短的200多个16进制代码里字节里实现。同样可以在里面加上下载程序并执行等功能。
c. 简单的开一个bind port shell, 你可以执行系统命令,比如echo写入一个脚本下载FTP站点里的程序并执行,甚至直接用TFTP下载程序等。这种方法执行命令,很简单,但每次攻击需要有两个连接,对系统开销比较大,而且可能受防火墙的影响也比较大,不宜采取。
d. 反连的shellcode跟bind port shell差不多,不过这个可以把反连的这个监听端口做成一个server形式,以便于接受多个连接,然后自动对每一个连接发送一些指令,使机器能完成传播。这个其实也是不错的,能突破不少防火墙,唯一的就是对禁止任何反连的防火墙没什么好办法。
e. 还记得hsj的ida溢出的exploit吧,该exploit监听一个端口,对目标溢出攻击成功后,目标系统反连攻击机的这个端口接受一个指定的文件并保存在本机硬盘上,然后执行,这其实跟反连shellcode差不多,只是一个是反连一个shell,另一个是反连回来取文件。这应该是蠕虫作者考虑中的传播途径。
f. 把程序放在某一个域名或者IP的FTP/HTTP站点里,所有感染的机器从这里取程序,下载到本地后执行。这种方法的好处是实现简单,而且可以很好的绕过防火墙,因为大多数的网络还是允许往外访问21/80端口的,而且可以很好的控制worm的版本和传播,把文件删掉就不会感染其他机器了,一般用于小规模感染。因为大规模感染的情况下,第一个倒下的是你的FTP/HTTP服务器。:)
g. Redcode/nimda的tftp下载程序方法,可以用在防火墙没有屏蔽udp的网络情况下,缺点是tftp传送文件太慢。居于Redcode/nimda的成功先例,这应该是蠕虫作者考虑中的传播途径。
h. 你自己*发挥想象力...
3. 如果RPC DCOM蠕虫,采用结合以上各种方法的优势,就可以完善一个能突破大多数防火墙的繁殖方式来,以使蠕虫能更好更快的得到传播,通过结合利用Redcode和nimda的相关技术,利用Redcode和nimda相同的tftp传播方法,尝试从攻击IP里tftp里下载一个程序,如果下载成功的话就执行,如果不成功,可以反连至该攻击IP的某一个端口接受文件,如果再不成功,可以开一个端口接收文件,再不成功,可以从FTP/HTTP站点下载文件...不过也得考虑你的shellcode的长度哦,呵呵。更多的,你自己*发挥想象力...
4. 加大蠕虫传播的途径,还可以考虑nimda的email, html, netbios共享等方法来进行繁殖和传播,做到这一点就可以把RPC DCOM做成一个继nimda后的第二个超级蠕虫。
5. 甚至可以结合病毒技术,感染exe文件,加大传播途径,做到这一点,RPC DCOM worm肯定是一个超过nimda的超级蠕虫。
6. 功能模块中,还可以加上木马功能或者DDoS功能,比如所有感染的机器同时向whitehouse,microsoft或者其他网站网站进行DDoS攻击,以完成更大的杀伤力。
十 RPC DCOM 蠕虫爆发前的防治工作
1. 为自己的主机打上微软发布的相关修补补丁。下面为补丁的相关下栽地址 :
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
2. 向用户宣传此漏洞的严重性和被蠕虫利用的危害性,促使用户修补该漏洞。
3. 在自己的路由器上封掉 TCP/135,UCP/135,甚至 TCP/139,UDP/139,TCP/445,UDP/445等RPC DCOM能利用的相关端口, 以阻断蠕虫的攻击和传播。
*** 花了两小时来写这篇文章, 此文仅用于表达我对 RPC DCOM 蠕虫的设想! :) ***
~~~~~~~~~~~~~~~~
在测试过这个exploit后发现,其实研究后我们可以发现可以在所有Win2000和WinXP上的RET地址,这就解决了判断目标系统版本的问题,直接可以使用一种数据包成功攻击所有Win2000/WinXP。
我们只要简单的修改一下该exploit, 使之能自动产生随机IP地址,然后对这个IP进行攻击尝试,就可以完成worm的攻击模块。或者你可以先生成一个随机的C类地址,然后扫描这个C段里有多少机器是开放135端口的,然后从扫描结果里取数据,并对这个IP实行攻击尝试,可以加快传播的速度。这些其实修改起来其实非常的容易。
2. 通过过替换攻击代码的shellcode部分,爱好者很容易能够在目标机器上执行任意命令和功能。比如简单的在主机上添加一个管理员用户,开一个shell端口,反连一个shell或者使计算机自动从某一个FTP或者HTTP服务器自动下载程序并执行等。然后想要进一步深入,就可以在采用合适完美的shellcode上来做文章,达到最大的传播效果。如exec command shellcode, bind port shellcode, connect back shellcode, down file and exec shellcode, down url file and exec shellcode等,你容易在网上找到它,如hsj的ida溢出exploit里就有一个down file and exec shellcode等。这个有汇编基础的攻击者很容易实现。这里对上面谈到的shellcode类型分别做一个简单的比较,以找出RPC DCOM最可能利用的传播途径。
a. 通过添加一个管理员用户,可以很容易的用Netbios共享来远程共享传播文件。但有对防火墙过滤了Netbios或者主机上不存在共享的情况下,不大好利用,而且,RPC DCOM 的攻击代码溢出后获得的是system权限,想直接通过shellcode或者下载的程序来远程用Netbios拷贝文件比较困难,需要有一个system to user的权限转换模块,所以为了更高效的利用这个漏洞,达到传播快和速度大的 RPC DCOM 蠕虫不大可能利用这种技术。
b. 直接把命令写进shellcode里的话,简单快捷。甚至可以把所有需要用到的功能全写进shellcode里去,如年初扫荡全球的sql worm, 把攻击,感染,传播三个模块写到短短的200多个16进制代码里字节里实现。同样可以在里面加上下载程序并执行等功能。
c. 简单的开一个bind port shell, 你可以执行系统命令,比如echo写入一个脚本下载FTP站点里的程序并执行,甚至直接用TFTP下载程序等。这种方法执行命令,很简单,但每次攻击需要有两个连接,对系统开销比较大,而且可能受防火墙的影响也比较大,不宜采取。
d. 反连的shellcode跟bind port shell差不多,不过这个可以把反连的这个监听端口做成一个server形式,以便于接受多个连接,然后自动对每一个连接发送一些指令,使机器能完成传播。这个其实也是不错的,能突破不少防火墙,唯一的就是对禁止任何反连的防火墙没什么好办法。
e. 还记得hsj的ida溢出的exploit吧,该exploit监听一个端口,对目标溢出攻击成功后,目标系统反连攻击机的这个端口接受一个指定的文件并保存在本机硬盘上,然后执行,这其实跟反连shellcode差不多,只是一个是反连一个shell,另一个是反连回来取文件。这应该是蠕虫作者考虑中的传播途径。
f. 把程序放在某一个域名或者IP的FTP/HTTP站点里,所有感染的机器从这里取程序,下载到本地后执行。这种方法的好处是实现简单,而且可以很好的绕过防火墙,因为大多数的网络还是允许往外访问21/80端口的,而且可以很好的控制worm的版本和传播,把文件删掉就不会感染其他机器了,一般用于小规模感染。因为大规模感染的情况下,第一个倒下的是你的FTP/HTTP服务器。:)
g. Redcode/nimda的tftp下载程序方法,可以用在防火墙没有屏蔽udp的网络情况下,缺点是tftp传送文件太慢。居于Redcode/nimda的成功先例,这应该是蠕虫作者考虑中的传播途径。
h. 你自己*发挥想象力...
3. 如果RPC DCOM蠕虫,采用结合以上各种方法的优势,就可以完善一个能突破大多数防火墙的繁殖方式来,以使蠕虫能更好更快的得到传播,通过结合利用Redcode和nimda的相关技术,利用Redcode和nimda相同的tftp传播方法,尝试从攻击IP里tftp里下载一个程序,如果下载成功的话就执行,如果不成功,可以反连至该攻击IP的某一个端口接受文件,如果再不成功,可以开一个端口接收文件,再不成功,可以从FTP/HTTP站点下载文件...不过也得考虑你的shellcode的长度哦,呵呵。更多的,你自己*发挥想象力...
4. 加大蠕虫传播的途径,还可以考虑nimda的email, html, netbios共享等方法来进行繁殖和传播,做到这一点就可以把RPC DCOM做成一个继nimda后的第二个超级蠕虫。
5. 甚至可以结合病毒技术,感染exe文件,加大传播途径,做到这一点,RPC DCOM worm肯定是一个超过nimda的超级蠕虫。
6. 功能模块中,还可以加上木马功能或者DDoS功能,比如所有感染的机器同时向whitehouse,microsoft或者其他网站网站进行DDoS攻击,以完成更大的杀伤力。
十 RPC DCOM 蠕虫爆发前的防治工作
1. 为自己的主机打上微软发布的相关修补补丁。下面为补丁的相关下栽地址 :
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
2. 向用户宣传此漏洞的严重性和被蠕虫利用的危害性,促使用户修补该漏洞。
3. 在自己的路由器上封掉 TCP/135,UCP/135,甚至 TCP/139,UDP/139,TCP/445,UDP/445等RPC DCOM能利用的相关端口, 以阻断蠕虫的攻击和传播。
*** 花了两小时来写这篇文章, 此文仅用于表达我对 RPC DCOM 蠕虫的设想! :) ***
#50
MARK