利用DNS服务RPC漏洞传播的蠕虫病毒VanBot出现
Windows DNS 0day漏洞再次被蠕虫利用,这次受影响最大的是服务器,个人消费者受影响的可能性较小.据说微软要到5月8日才会发布正式补丁,在这之前,不知有多少企业服务器会被黑客蹂躏了.上周,有报道称黑客发现并利用Windows 2000,Windows Server 2003系统的DNS服务漏洞发起0day攻击,微软已经着手开发补丁,在微软发布正式的补丁程序前,启用DNS服务的系统将处于危急之中.该病毒正是利 用windows DNS服务器的PRC漏洞进行溢出攻击,攻击者可以成功控制存在此漏洞的windows服务器,利用此漏洞下载bot程序,使其成为botnet(僵尸网 络)的一个节点.
微软公司表示,Windows XP和Windows Vista不会受到这一DNS缺陷的影响,Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2系统易受攻击。
评估此漏洞可能会对企业、科研院校、政府机构的DNS服务器产生严重影响,对于DNS服务的漏洞,微软官方补丁尚未发布,可以通过修改注册 表禁止DNS服务的RPC功能,以降低安全风险。已经有黑客通过DNS溢出成功入侵一定数量的企业服务器,黑客成功入侵后, 在该服务器种植了更多的木马后门程序。
在微软官方发布补丁程序之前,建议用户修改注册表,以降低DNS服务RPC漏洞的风险:
在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters下创建一 个名为"RpcProtocol"的DWORD值,并设定数值为4,然后重启DNS服务。另外,若非必要,强烈建议网管禁用DNS服务,并禁止445端口 的TCP与UDP连接。以及对1024,1025端口的未明访问。
以下是金山截获的蠕虫病毒Vanbot的详细分析报告:
病毒名:Win32.Hack.VanBot.bx.199680(bot为机器人程序)
这是一个后门病毒,它利用了Windows DNS服务器的RPC漏洞进行传播,
并开放一个后门端口,接受黑客的控制指令.
1:拷贝病毒体
病毒运行后,会把自己拷贝到系统目录下
%system%mdnex.exe
之后病毒体会自删除
2:添加自启动项
病毒会添加自启动项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Microsoft DNSx = "%system%mdnex.exe"
使自己能随Windows启动.
3:连接IRC接受命令
病毒会打开一个随机端口,并连接以下3个IRC
is.wayne.brady.gonna.have.to.choke******.us
symantec.has.sand.in.its.******.xxx
x.*****ewaffles.us
接受并响应黑客发出的指令,使计算机成为僵尸网络的一部分.
4:病毒传播
病毒会会随机生成一个IP,并向该IP地址发送数据包,利用DNS服务远程溢出漏洞(1025端口)和
远程服务溢出漏洞(139端口)进行传播,该数据包是经过特殊设计的,使该IP的计算机的栈溢出,
并运行数据包中的ShellCode,而ShellCode正是下载和运行病毒体的代码,使远程计算机下载
http://www.******.com/radi.exe到C:radi.exe上,并运行此文件.
但病毒体不会向此IP段发送数据包:
192.168.*.*
10.*.*.*
111.*.*.*
15.*.*.*
16.*.*.*
101.*.*.*
110.*.*.*
112.*.*.*
170.65.*.*
172.*.*.*
该漏洞存在于以下打开了DNS服务(Domain Name System)的服务器系统:
Windows 2000 Server Service Pack 4
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
-----------------------------------
附加:
IRC地址
is.wayne.brady.gonna.have.to.chokeabitch.us
symantec.has.sand.in.its.vagina.xxx
x.rofflewaffles.us
病毒更新地址,不过已经连接不上了
h**p://www.tgiweb.com/radi.exe
微软公司表示,Windows XP和Windows Vista不会受到这一DNS缺陷的影响,Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2系统易受攻击。
评估此漏洞可能会对企业、科研院校、政府机构的DNS服务器产生严重影响,对于DNS服务的漏洞,微软官方补丁尚未发布,可以通过修改注册 表禁止DNS服务的RPC功能,以降低安全风险。已经有黑客通过DNS溢出成功入侵一定数量的企业服务器,黑客成功入侵后, 在该服务器种植了更多的木马后门程序。
在微软官方发布补丁程序之前,建议用户修改注册表,以降低DNS服务RPC漏洞的风险:
在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters下创建一 个名为"RpcProtocol"的DWORD值,并设定数值为4,然后重启DNS服务。另外,若非必要,强烈建议网管禁用DNS服务,并禁止445端口 的TCP与UDP连接。以及对1024,1025端口的未明访问。
以下是金山截获的蠕虫病毒Vanbot的详细分析报告:
病毒名:Win32.Hack.VanBot.bx.199680(bot为机器人程序)
这是一个后门病毒,它利用了Windows DNS服务器的RPC漏洞进行传播,
并开放一个后门端口,接受黑客的控制指令.
1:拷贝病毒体
病毒运行后,会把自己拷贝到系统目录下
%system%mdnex.exe
之后病毒体会自删除
2:添加自启动项
病毒会添加自启动项
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Microsoft DNSx = "%system%mdnex.exe"
使自己能随Windows启动.
3:连接IRC接受命令
病毒会打开一个随机端口,并连接以下3个IRC
is.wayne.brady.gonna.have.to.choke******.us
symantec.has.sand.in.its.******.xxx
x.*****ewaffles.us
接受并响应黑客发出的指令,使计算机成为僵尸网络的一部分.
4:病毒传播
病毒会会随机生成一个IP,并向该IP地址发送数据包,利用DNS服务远程溢出漏洞(1025端口)和
远程服务溢出漏洞(139端口)进行传播,该数据包是经过特殊设计的,使该IP的计算机的栈溢出,
并运行数据包中的ShellCode,而ShellCode正是下载和运行病毒体的代码,使远程计算机下载
http://www.******.com/radi.exe到C:radi.exe上,并运行此文件.
但病毒体不会向此IP段发送数据包:
192.168.*.*
10.*.*.*
111.*.*.*
15.*.*.*
16.*.*.*
101.*.*.*
110.*.*.*
112.*.*.*
170.65.*.*
172.*.*.*
该漏洞存在于以下打开了DNS服务(Domain Name System)的服务器系统:
Windows 2000 Server Service Pack 4
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
-----------------------------------
附加:
IRC地址
is.wayne.brady.gonna.have.to.chokeabitch.us
symantec.has.sand.in.its.vagina.xxx
x.rofflewaffles.us
病毒更新地址,不过已经连接不上了
h**p://www.tgiweb.com/radi.exe
| 欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com |
关注天下网吧微信,了解网吧网咖经营管理,安装维护:
本文来源:铁军杀毒博客 作者:佚名
天下网吧·网吧天下
闽公网安备35010202000238号