xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
Xcon English Version

利用MS05-039漏洞传播的蠕虫公告!


创建时间:2005-08-16
文章属性:原创
文章提交:refdom (refdom_at_xfocus.org)

Author: Refd0m (Refdom<123>xfocus.org)
Date:2005-08-16

    现在一个被命名为Zotob的蠕虫病毒已经在15日早些时候开始被发布,并且造成了一些影响,但由于该蠕虫的溢出代码存在缺陷,部分有MS05-039漏洞的系统在被攻击时会不断重新启动,无法正常运行。这个蠕虫不会感染或者影响到Win95/98/Me/NT系统,但是有可能在这些系统上运行去感染其他的系统。该蠕虫的很多手法冰窖内容Mytob,由于被该蠕虫影响的系统在hosts文件上对几个大型电子商务网站作了手脚,并且受控制于IRC服务器,以及可能有update功能,因此,可能会有攻击者进行Phishing攻击影响,盗窃相关机密信息,比如信用卡资料(目前未证实)。

    这个蠕虫通过对MS05-039描述的漏洞进行攻击,有关该漏洞的详细信息请参考:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

    该蠕虫特征:
1、在系统上创建一个名为B-O-T-Z-O-R的互斥体以确保只有1个感染的蠕虫在运行
2、复制自身到以下位置:
    %System%\csm.exe
3、修改下面的注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
在这两项下添加键值:"csm Win Updates" = "csm.exe",以便能够在系统启动时执行。
4、修改下面的键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
设置为4,禁止Win2000/XP的共享访问服务
5、通过TCP8080端口连接到IRC服务器wait.atillaekici.net
6、在TCP33333端口开启一个FTP服务
7、产生随机IP地址,并试图进行扫描感染这些地址的主机,通过利用即插即用服务(Plug and Play )漏洞(MS05-039),蠕虫会在目标系统上打开TCP8888端口的后门,并进行感染
8、复制%System%\2pac.txt文件到新感染的系统上,并执行其中的FTP脚本
9、通过开启的FTP服务,下载%System%\haha.exe文件并在新目标上执行
10、增加下面内容到hosts文件,会导致无法通过域名访问或者更新病毒库;
.... Made By .... Greetz to good friend  [REMOVED]  in the next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

解决办法:
1、获得相应系统的最新的微软补丁,下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
由于蠕虫修改了hosts文件,可通过其他系统获得补丁,或者直接将hosts文件中新增加的上述内容删除。

2、删除上述注册表被增加内容,以及相应增加的文件。

3、在防火墙或者IP安全策略上BLOCK以下端口:
TCP  139/445
TCP 8080
TCP 3333