安全研究

紧急通告
绿盟科技紧急通告(Alert2006-10)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

利用MS06-040漏洞的蠕虫正在传播

发布日期:2006-08-14

CVE ID:CVE-2006-3439
BUGTRAQ ID:19409

受影响的软件及系统:
====================
Microsoft Windows 2000 SP4
Microsoft Windows XP SP1
Microsoft Windows XP SP2
Microsoft Windows Server 2003
Microsoft Windows Server 2003 SP1

综述:
======
NSFocus安全小组监测到利用MS06-040漏洞的蠕虫(不同病毒厂商命名为:W32.Wargbot[Symantec]、IRC-Mocbot!MS06-040[McAfee]、Backdoor.Win32.IRCBot.st[Kaspersky]、WORM_IRCBOT.JK[Trend])已经开始大范围传播。存在MS06-040漏洞的主机都可能受该蠕虫影响:被成功感染的主机会被安装后门,没有感染成功的主机可能会出现系统自动倒计时重启、网络访问异常等情况。

分析:
======
目前网上出现了一个利用Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040)漏洞进行传播的蠕虫。由于该漏洞影响的操作系统范围很大,受漏洞影响的计算机数量相当多,所以蠕虫的传播势头也很猛。

Microsoft Windows Server服务远程缓冲区溢出漏洞(MS06-040)所涉及的Server 服务是共享Services.exe(或svchost.exe,下同)进程的,而Services.exe进程中还有Workstation、PlugPlay、ProtectedStorage等重要服务。如果针对该漏洞攻击失败,就有可能导致Services.exe进程崩溃,或者影响到其它服务的正常工作,从而出现系统自动倒计时重启、网络访问异常等情况。

蠕虫执行后,会将自身拷贝到系统目录下:%SystemRoot%\System32\wgareg.exe,并创建文件:%SystemRoot%\Debug\dcpromo.log。然后将自身创建为系统服务,服务名是“wgareg”,显示名称是“Windows Genuine Advantage Registration Service”,服务描述为“Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability.”。

目前该蠕虫已经出现变种,文件名还可能是“wgavm.exe”,对应的服务名、显示名称和服务描述是“wgavm”、“Windows Genuine Advantage Validation Monitor”、“ Ensures that your copy of Microsoft Windows is genuine. Stopping or disabling this service will result in system instability.”。

蠕虫还会修改一些注册表键值,对系统进行简单的安全加固和关闭杀毒软件、网络防火墙等,以确保系统不易被其它人攻击和控制,也便于蠕虫的控制者能进一步利用系统。

蠕虫会连接ypgw.wallloan.com和bniu.househot.com这两个IRC服务器 ,接受远程命令控制。蠕虫的编写者可以通过IRC远程控制被感染的机器。

解决方法:
==========
彻底消除蠕虫威胁的方法是安装MS06-040安全补丁:

您可以访问下列链接,根据您的操作系统手工下载并安装相关补丁:
http://www.microsoft.com/china/technet/Security/bulletin/ms06-040.mspx

您也可以通过微软的自动更新("Windows update")功能来自动安装相关补丁。

如果您不能立刻安装补丁,NSFOCUS建议您采取以下措施以降低威胁:

* 在边界防火墙上阻断外部对内部TCP 139和445端口的访问。
* 打开管理工具,选择“服务”,然后停止Server服务,并将其启动方式设置为“手动”。

如果已经被蠕虫感染,可以采取手工停止并删除蠕虫服务然后删除蠕虫文件的方法来清除该蠕虫。如果您不知道如何进行这些操作,NSFOCUS建议您升级您的反病毒软件到最新版本,借助于反病毒软件来清除蠕虫。

目前绿盟科技的冰之眼入侵检测/防护系统以及极光远程安全评估系统都已经提供了对此漏洞的防护,请客户尽快升级到最新升级包。
客户可以通过绿盟科技产品升级网站获得最新升级包:
http://update.nsfocus.com/

附加信息:
==========
http://www.microsoft.com/china/technet/Security/bulletin/ms06-040.mspx
http://www.nsfocus.net/index.php?act=alert&do=view&aid=69
http://www.nsfocus.net/index.php?act=alert&do=view&aid=70
http://www.nsfocus.net/vulndb/9131

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技