首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2006-10)

NSFOCUS安全小組([email protected])
//www.nsfocus.com

利用MS06-040漏洞的蠕蟲正在傳播

發布日期:2006-08-14

CVE ID:CVE-2006-3439
BUGTRAQ ID:19409

受影響的軟件及系統:
====================
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1
Microsoft Windows XP SP2
Microsoft Windows Server 2003
Microsoft Windows Server 2003 SP1

綜述:
======
NSFocus安全小組監測到利用MS06-040漏洞的蠕蟲(不同病毒廠商命名為:W32.Wargbot[Symantec]、IRC-Mocbot!MS06-040[McAfee]、Backdoor.Win32.IRCBot.st[Kaspersky]、WORM_IRCBOT.JK[Trend])已經開始大范圍傳播。存在MS06-040漏洞的主機都可能受該蠕蟲影響:被成功感染的主機會被安裝后門,沒有感染成功的主機可能會出現系統自動倒計時重啟、網絡訪問異常等情況。

分析:
======
目前網上出現了一個利用Microsoft Windows Server服務遠程緩沖區溢出漏洞(MS06-040)漏洞進行傳播的蠕蟲。由于該漏洞影響的操作系統范圍很大,受漏洞影響的計算機數量相當多,所以蠕蟲的傳播勢頭也很猛。

Microsoft Windows Server服務遠程緩沖區溢出漏洞(MS06-040)所涉及的Server 服務是共享Services.exe(或svchost.exe,下同)進程的,而Services.exe進程中還有Workstation、PlugPlay、ProtectedStorage等重要服務。如果針對該漏洞攻擊失敗,就有可能導致Services.exe進程崩潰,或者影響到其它服務的正常工作,從而出現系統自動倒計時重啟、網絡訪問異常等情況。

蠕蟲執行后,會將自身拷貝到系統目錄下:%SystemRoot%\System32\wgareg.exe,并創建文件:%SystemRoot%\Debug\dcpromo.log。然后將自身創建為系統服務,服務名是“wgareg”,顯示名稱是“Windows Genuine Advantage Registration Service”,服務描述為“Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.”。

目前該蠕蟲已經出現變種,文件名還可能是“wgavm.exe”,對應的服務名、顯示名稱和服務描述是“wgavm”、“Windows Genuine Advantage Validation Monitor”、“ Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.”。

蠕蟲還會修改一些注冊表鍵值,對系統進行簡單的安全加固和關閉殺毒軟件、網絡防火墻等,以確保系統不易被其它人攻擊和控制,也便于蠕蟲的控制者能進一步利用系統。

蠕蟲會連接ypgw.wallloan.com和bniu.househot.com這兩個IRC服務器 ,接受遠程命令控制。蠕蟲的編寫者可以通過IRC遠程控制被感染的機器。

解決方法:
==========
徹底消除蠕蟲威脅的方法是安裝MS06-040安全補丁:

您可以訪問下列鏈接,根據您的操作系統手工下載并安裝相關補?。?br /> //www.microsoft.com/china/technet/Security/bulletin/ms06-040.mspx

您也可以通過微軟的自動更新("Windows update")功能來自動安裝相關補丁。

如果您不能立刻安裝補丁,NSFOCUS建議您采取以下措施以降低威脅:

* 在邊界防火墻上阻斷外部對內部TCP 139和445端口的訪問。
* 打開管理工具,選擇“服務”,然后停止Server服務,并將其啟動方式設置為“手動”。

如果已經被蠕蟲感染,可以采取手工停止并刪除蠕蟲服務然后刪除蠕蟲文件的方法來清除該蠕蟲。如果您不知道如何進行這些操作,NSFOCUS建議您升級您的反病毒軟件到最新版本,借助于反病毒軟件來清除蠕蟲。

目前綠盟科技的冰之眼入侵檢測/防護系統以及極光遠程安全評估系統都已經提供了對此漏洞的防護,請客戶盡快升級到最新升級包。
客戶可以通過綠盟科技產品升級網站獲得最新升級包:
//update.nsfocus.com/

附加信息:
==========
//www.microsoft.com/china/technet/Security/bulletin/ms06-040.mspx
//www.bkkgl.icu/index.php?act=alert&do=view&aid=69
//www.bkkgl.icu/index.php?act=alert&do=view&aid=70
//www.bkkgl.icu/vulndb/9131

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/?;?、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: //www.nsfocus.com

© 2019 綠盟科技