中华网络安全联盟 收藏本站
设为主页
商务合作
首页 新闻中心 行业动态 软件新闻 安全资讯 病毒预警 漏洞发布 操作系统 Dos Win9x Win2000 WinXP Win2003 WinVista Linux Unix
数据库 DB2 Access MSSQL MySQL Oracle Sybase 编程技术 ASP PHP JSP CGI/Perl XML .Net C/C++/C# VB VC Delphi Java 汇编
安全技术 安全教学 工具介绍 漏洞利用 病毒防范 入侵检测 防火墙 安全防范 汉化破解 攻击实例 加密解密 进程知识 技术论坛
中华网络安全联盟 >> 新闻中心 >> 病毒预警 >> 利用MS06-040漏洞的蠕虫正在传播
新闻中心
行业动态
软件新闻
安全资讯
病毒预警
漏洞发布
新蠕虫Big Yellow利用
上海宽带用户大规模中
冲击波噩梦可能重现 魔
雅虎通曝蠕虫威胁 利用
近期计算机病毒蠕虫Wo
凯温蠕虫和传奇终结者
毁灭之神、QQ信息蠕虫
病毒和蠕虫成为中国网
利用MS06-040漏洞的蠕虫正在传播
字体:

中华网络安全联盟    来源:奇趣    时间:2006-8-15 16:03:43

CVE CAN ID:CVE-2006-3439
BUGTRAQ ID:19409

受影响的软件及系统:
====================
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1
Microsoft Windows XP SP2
Microsoft Windows Server 2003
Microsoft Windows Server 2003 SP1

综述:
======
NSFocus安全小组监测到利用MS06-040漏洞的蠕虫(不同病毒厂商命名为:W32.Wargbot[Symantec]、IRC-Mocbot!MS06-040[McAfee]、Backdoor.Win32.IRCBot.st[Kaspersky]、WORM_IRCBOT.JK[Trend])已经开始大范围传播。存在MS06-040漏洞的主机都可能受该蠕虫影响:被成功感染的主机会被安装后门,没有感染成功的主机可能会出现系统自动倒计时重启、网络访问异常等情况。

分析:
======
目前网上出现了一个利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040)漏洞进行传播的蠕虫。由于该漏洞影响的操作系统范围很大,受漏洞影响的计算机数量相当多,所以蠕虫的传播势头也很猛。

Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040)所涉及的Server 服务是共享Services.exe(或svchost.exe,下同)进程的,而Services.exe进程中还有Workstation、PlugPlay、ProtectedStorage等重要服务。如果针对该漏洞攻击失败,就有可能导致Services.exe进程崩溃,或者影响到其它服务的正常工作,从而出现系统自动倒计时重启、网络访问异常等情况。

蠕虫执行后,会将自身拷贝到系统目录下:%SystemRoot%\System32\wgareg.exe,并创建文件:%SystemRoot%\Debug\dcpromo.log。然后将自身创建为系统服务,服务名是“wgareg”,显示名称是“Windows Genuine Advantage Registration Service”,服务描述为“Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.”。

目前该蠕虫已经出现变种,文件名还可能是“wgavm.exe”,对应的服务名、显示名称和服务描述是“wgavm”、“Windows Genuine Advantage Validation Monitor”、“ Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.”。

蠕虫还会修改一些注册表键值,对系统进行简单的安全加固和关闭杀毒软件、网络防火墙等,以确保系统不易被其它人攻击和控制,也便于蠕虫的控制者能进一步利用系统。

蠕虫会连接ypgw.wallloan.com和bniu.househot.com这两个IRC服务器 ,接受远程命令控制。蠕虫的编写者可以通过IRC远程控制被感染的机器。

解决方法:
==========
彻底消除蠕虫威胁的方法是安装MS06-040安全补丁:

您可以访问下列链接,根据您的操作系统手工下载并安装相关补丁:
http://www.microsoft.com/china/technet/Security/bulletin/ms06-040.mspx

您也可以通过微软的自动更新("Windows update")功能来自动安装相关补丁。

如果您不能立刻安装补丁,NSFOCUS建议您采取以下措施以降低威胁:

* 在边界防火墙上阻断外部对内部TCP 139和445端口的访问。
* 打开管理工具,选择“服务”,然后停止Server服务,并将其启动方式设置为“手动”。

如果已经被蠕虫感染,可以采取手工停止并删除蠕虫服务然后删除蠕虫文件的方法来清除该蠕虫。如果您不知道如何进行这些操作,NSFOCUS建议您升级您的反病毒软件到最新版本,借助于反病毒软件来清除蠕虫。

目前绿盟科技的冰之眼入侵检测/防护系统以及极光远程安全评估系统都已经提供了对此漏洞的防护,请客户尽快升级到最新升级包。
客户可以通过绿盟科技产品升级网站获得最新升级包:
http://update.nsfocus.com/

附加信息:
==========
http://www.microsoft.com/china/technet/Security/bulletin/ms06-040.mspx
http://www.nsfocus.net/index.php?act=alert&do=view&aid=69
字体:
 
设为主页 收藏本站 联系我们 友情连接 商务合作 网友留言
Copyright©2006-2008 中华网络安全联盟 All rights reserved.