从今天凌晨开始,许多用户的系统就不停的重新启动。现在已经查明是两种蠕虫病毒利用RPC服务的漏洞对网络中的计算机进行攻击。该两种病毒名为“爆破工(Worm.Blaster)”和“异形(Worm.Rpc.Zerg)”,微软已经放出了该漏洞的补丁,请大家赶快去下载。
发作时弹出强行重启窗口
以下是该病毒的一些资料:
漏洞现象:Windows系统不稳定出现SCVHOST错误,开机后无法进行复制、粘贴等操作,无法打开OUTLOOK或IE等程序,机器在1~2分内出现RPC错误重新启动。
威胁程度:Microsoft RPC为远程管理员权限,MS WINDOWS 2000 RPC为远程拒绝服务
错误类型:Microsoft RPC为设计错误,MS WINDOWS 2000 RPC为输入验证错误
利用方式:Microsoft RPC为服务器模式、MS WINDOWS 2000 RPC为客户机模
Microsoft RPC CVE(CAN) ID:CAN-2003-0352
受影响系统
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
需要说明的是已经装有SP4的系统也需要安装补丁
详细描述
Microsoft RPC :Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议,提供进程间交互通信,允许程序在远程机器上运行任意程序。
RPC在处理通过TCP/IP进行信息交换过程中存在漏洞,问题由于不正确处理畸形消息造成。主要此漏洞影响使用RPC的DCOM接口,监听RPC使能的接口,这个接口处理DCOM对象激活请求。攻击者如果成功利用此漏洞,可以以系统用户权限执行任意代码。
要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定RPC端口。如135、139、445等任何配置了RPC端口的机器。
MS WINDOWS 2000 RPC :WINDOWS的RPC服务(RPCSS)存在漏洞,当发送一个畸形包的时候,会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务,许多应用和服务程序都依赖于他,因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。
技术分析
问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写操作,这样就导致了内存访问违例,RPC服务进程崩溃。
危害
攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行。 由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。
解决方案
比较有效的防范方法是:关闭传播端口、安装新补丁。
网络控制方法:
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69 用于文件下载
TCP Port 135 微软:DCOM RPC
补丁下载:
Windows NT 4.0 Server :
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
Windows NT 4.0 Terminal Server Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
Windows XP 32 bit Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
Windows2000 中文版
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&DisplayLang=zh-cn
Windows XP 中文版
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
Windows 2003 中文版
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E
相关信息请参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
如果升级了补丁你还是解决不了问题,只有用终极修改法了:杀毒:拒绝蠕虫,手把手教你关闭135端口
(pcpop)
爱小说
keep最新版
涂色绘画吧
飞速清理大师