关于我们 | 网站结构 | 意见反馈

 首页 | 中心概要 | 地区网建设 | 应用服务 | 网络资源 | 赛尔华东南分公司

CCERT关于Dvldr32 蠕虫防范的紧急公告 
中国教育和科研计算机网紧急响应组(CCERT) 

  2003年3月7日以来,一种破坏力很强的蠕虫(暂且以攻击程序的名字命名为Dvldr32 蠕虫)在网络上传播,控制了大量口令设置不安全的Windows系统,对网络造成了很大破坏。 目前主要的网络运行商已经在网络上对其传播途径进行了控制,但是,被感染的系统、可能被感染的系统仍然大量存在,而且类似的蠕虫攻击有可能再度发生,有必要引起进一步的关注。 

1. 易受感染的系统

  Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.

2.蠕虫利用系统漏洞

  弱口令,比较典型的是管理员(administrator)口令为空

3.主要危害

  计算机感染Dvldr32蠕虫后,定期的随机选择两个C类地址进行扫描(TCP 445端口),如果目标机器上存在弱口令账号(如:administrator账号口令为空),蠕虫便会利用该账号将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门(TCP 5800,TCP 5900),并通过互联网聊天协议(IRC,TCP 目标端口6667)与境外的服务器进行通信。

  该蠕虫的扫描和传播可能造成网络严重拥塞,主要表现为大量 TCP 445端口的扫描、TCP 6667端口的通信。另外,网络流量监测结果表明IP协议字段为 255( IP 头标的第9个字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。

4. 计算机用户的检测手段

  如果出现以下特征之一,可以认为系统已经被感染:

  (1)如果你的管理员口令为空或者容易猜测的口令,那么你的计算机系统可能已经被感染了,或者很容易受到感染;

  (2)登录计算机系统,执行netstat -an命令,如果出现大量对外6667端口的TCP连接,或者正在监听TCP 5800和5900端口,那么你的系统可能被感染了,如下所示: 

    C:\>netstat.exe -n
    Active Connections
    Proto Local Address   Foreign Address    State
    TCP x.x.x.x:1043   149.156.91.2:6667  CLOSE_WAIT
    TCP x.x.x.x:1045   198.65.147.245:6667 CLOSE_WAIT
    …… 
    TCP x.x.x.x:4811   198.65.147.245:6667 CLOSE_WAIT
    TCP x.x.x.x:4887   149.156.91.2:6667  CLOSE_WAIT

  (3)如果系统目录下出现了以下文件,那么你的系统可能被感染了:

    C:\> dir /O:D winnt\system32
    C:\winnt\system32 的目录
    ...
    2003-03-07 02:23    745,984 Dvldr32.exe
    2003-03-08 19:53    61,440 PSEXESVC.EXE
    2003-03-08 22:38    684,562 inst.exe
    2003-03-08 22:38    36,352 psexec.exe

    C:\>dir winnt\fonts /O:D
    ......
    2002-11-06 17:07    212,992 explorer.exe
    2002-11-06 17:58    29,336 rundll32.exe

  (4)检查注册表, 如果增加了如下键值,则你的系统已经被感染了:
      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      "TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
      "Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
      "messnger"="C:\\WINNT\\system32\\Dvldr32.exe"

5. 计算机用户的控制手段

  (1)为 administrator 设定安全的口令,检查其他所有用户口令的安全性;

  (2)终止名为dvldr32.exe 和rundll32.exe 的进程;

  (3)删除 以下文件(%windir%是windows nt/2000的根目录,比如c:\winnt):
   %windir%\system32\dvldr32.exe
   %windir%\fonts\explorer.exe
   %windir%\fonts\omnithread_rt.dll
   %windir%\fonts\VNCHooks.dll
  %windir%\fonts\rundll32.exe
   %windir%\system32\cygwin1.dll
   %windir%\system32\ INST.exe

  (4)清理注册表,删除3(4)中所提到的注册表中的键值

  (5)重新启动计算机



  为防止类似事件发生,我们向Windows 用户或系统管理员建议以下最基本的安全措施:

  (1)为操作系统安装最新的补丁;

  (2)为所有用户选择安全的、不用易猜测的口令;

  (3)安装防病毒软件,并及时更新病毒定义码(最好每天一次)。

6. 网络管理员的检测手段

  如果你管理的网络出现了以下现象,那么网络中可能有计算机系统受感染了 

  (1)网络性能显著下降; 

  (2)用流量分析工具(比如Unix平台的tcpdump 、Windows 平台的Sniffer pro),

    可以看到从网络内部发起的大量目标端口为445、6667的TCP 数据包; 

  (3)用端口扫描软件(比如Linux 平台的nmap),扫描你所管理的网络,如果有的

    计算机同时打开了TCP 445 、5800、5900端口,则该计算机系统可能被感染了。

7. 网络管理员的控制手段

  在边界路由器或防火墙上配置访问控制规则,可以控制蠕虫传播的途径,起到保护内部网络、控制被感染系统扩散的目的。

  例如,可以在cisco 路由器上的配置如下访问控制表:
     access-list 110 deny tcp any any eq 445
     ! 用于控制蠕虫的扫描和感染;
     access-list 110 deny tcp any any eq 5800
     access-list 110 deny tcp any any eq 5900
     ! 用于防止受感染的系统被远程控制
     access-list 110 deny tcp any any eq 6667
     ! 用于控制 受感染的系统与聊天服务器的通信
     access-list 110 deny udp any any eq 1434
     ! 用于控制 Slammer worm
     access-list 110 deny 255 any any
     access-list 110 deny 0 any any
     ! 用于控制 IP Protocol 为255 和0 的流量
     access-list 110 permit ip any any 

8.蠕虫传播机理分析

  中国教育和科研计算机网紧急响应组(CCERT):  http://www.ccert.edu.cn 

  哈工大安天CERT 小组:             http://www.antiy.com/home.htm

9. CCERT 技术支持

  电话:010-62784301

  传真:010-62785933

EMAIL: report@ccert.edu.cn

地址:清华大学中央主楼210 室   邮编 100084


 

相 关 内 容

  中心简介
  中心信息
  规章制度

 

 

 

中国教育与科研网华东南地区网络中心  版权所有 © 2001