天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

利用DNS服务RPC漏洞传播的蠕虫病毒VanBot出现

2008-2-18铁军杀毒博客佚名
Windows DNS 0day漏洞再次被蠕虫利用,这次受影响最大的是服务器,个人消费者受影响的可能性较小.据说微软要到5月8日才会发布正式补丁,在这之前,不知有多少企业服务器会被黑客蹂躏了.上周,有报道称黑客发现并利用Windows 2000,Windows Server 2003系统的DNS服务漏洞发起0day攻击,微软已经着手开发补丁,在微软发布正式的补丁程序前,启用DNS服务的系统将处于危急之中.该病毒正是利 用windows DNS服务器的PRC漏洞进行溢出攻击,攻击者可以成功控制存在此漏洞的windows服务器,利用此漏洞下载bot程序,使其成为botnet(僵尸网 络)的一个节点.
  
  微软公司表示,Windows XP和Windows Vista不会受到这一DNS缺陷的影响,Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2系统易受攻击。
  
  评估此漏洞可能会对企业、科研院校、政府机构的DNS服务器产生严重影响,对于DNS服务的漏洞,微软官方补丁尚未发布,可以通过修改注册 表禁止DNS服务的RPC功能,以降低安全风险。已经有黑客通过DNS溢出成功入侵一定数量的企业服务器,黑客成功入侵后, 在该服务器种植了更多的木马后门程序。
  
  在微软官方发布补丁程序之前,建议用户修改注册表,以降低DNS服务RPC漏洞的风险:
  在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters下创建一 个名为"RpcProtocol"的DWORD值,并设定数值为4,然后重启DNS服务。另外,若非必要,强烈建议网管禁用DNS服务,并禁止445端口 的TCP与UDP连接。以及对1024,1025端口的未明访问。
  
  以下是金山截获的蠕虫病毒Vanbot的详细分析报告:
  
  病毒名:Win32.Hack.VanBot.bx.199680(bot为机器人程序)
  
  这是一个后门病毒,它利用了Windows DNS服务器的RPC漏洞进行传播,
  并开放一个后门端口,接受黑客的控制指令.
  
  1:拷贝病毒体
  病毒运行后,会把自己拷贝到系统目录下
  %system%mdnex.exe
  之后病毒体会自删除
  
  2:添加自启动项
  病毒会添加自启动项
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  Microsoft DNSx = "%system%mdnex.exe"
  使自己能随Windows启动.
  
  3:连接IRC接受命令
  病毒会打开一个随机端口,并连接以下3个IRC
  is.wayne.brady.gonna.have.to.choke******.us
  symantec.has.sand.in.its.******.xxx
  x.*****ewaffles.us
  接受并响应黑客发出的指令,使计算机成为僵尸网络的一部分.
  
  4:病毒传播
  病毒会会随机生成一个IP,并向该IP地址发送数据包,利用DNS服务远程溢出漏洞(1025端口)和
  远程服务溢出漏洞(139端口)进行传播,该数据包是经过特殊设计的,使该IP的计算机的栈溢出,
  并运行数据包中的ShellCode,而ShellCode正是下载和运行病毒体的代码,使远程计算机下载
  http://www.******.com/radi.exe到C:radi.exe上,并运行此文件.
  但病毒体不会向此IP段发送数据包:
  
  192.168.*.*
  10.*.*.*
  111.*.*.*
  15.*.*.*
  16.*.*.*
  101.*.*.*
  110.*.*.*
  112.*.*.*
  170.65.*.*
  172.*.*.*
  
  
  该漏洞存在于以下打开了DNS服务(Domain Name System)的服务器系统:
  Windows 2000 Server Service Pack 4
  Windows Server 2003 Service Pack 1
  Windows Server 2003 Service Pack 2
  
  -----------------------------------
  附加:
  IRC地址
  is.wayne.brady.gonna.have.to.chokeabitch.us
  symantec.has.sand.in.its.vagina.xxx
  x.rofflewaffles.us
  
  病毒更新地址,不过已经连接不上了
  h**p://www.tgiweb.com/radi.exe

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:铁军杀毒博客 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行