比冲击波更厉害新病毒将再袭Windows

clement · 发表于 2003-9-13 11:56:26

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

x

冲击波病毒上个月在全球引发的惨重灾情，最近可能重演。安全专家警告说，国际网际网络可能遭到新病毒攻击，类似上个月爆发的冲击波病毒攻击。美国国土安全部的电脑安全部门10日晚间发布警告说：由于Windows系统出现新弱点，很可能导致网际网络遭受新病毒的侵袭。　　
　　微软稍早宣布的重大安全漏洞，类似上个月发布、后来引发冲击波病毒攻击的严重缺陷，那次漏洞使目前使用中的大部分Windows版本都受到影响。
　　微软警告说，黑客可能利用窗口系统的新安全漏洞，轻易取得使用Windows系统的电脑的掌控权。他们敦促计算机用户安装最新的补丁程序以修补此漏洞。
　　美国国土安全部说，由于大部分电脑都使用微软Windows软件，担心可能会出现类似冲击波的病毒，散布快速攻击。

yangyangcumt · 发表于 2003-9-16 17:56:30

我两天内重装了三次系统，这个病毒好厉害啊！

周华 · 发表于 2003-9-16 19:03:59

请到
http://www.ccert.edu.cn
下载补丁。

周华 · 发表于 2003-9-17 11:32:47

CCERT 关于Windows RPC DCOM接口堆缓冲区溢出漏洞的安全公告

                              发布日期：2003-9-11
微软的Windows操作系统的RPC接口又发现存在多个远程安全
漏，入侵者可以使用这些漏洞取得本地系统权限。该漏洞的危害
程度与上月的RPC漏洞情况相同。(注意：这个漏洞跟8月份出现
的冲击波(MSBlaster)和冲击波杀手(Nachi)所用的漏洞不同，补
丁kB823980对该漏洞无效)
漏洞的详情参见
http://www.ccert.edu.cn/advisories/all.php?ROWID=52
影响系统：
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server? 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

漏洞描述：
Remote Procedure Call (RPC)是Windows 操作系统使用的
一种远程过程调用协议，RPC提供进程间交互通信机制，允许在
某台计算机上运行程序的无缝地在远程系统上执行代码。协议本
身源自开放软件基金会的 RPC协议，Microsoft在其基础上增加
了自己的一些扩展。
Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个
远程堆缓冲区溢出问题，远程攻击者可以利用这些漏洞以本地系
统权限在系统上执行任意指令。
这些漏洞是由于不正确处理畸形消息所致，漏洞实质上影响
的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务
器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸
形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系
统权限执行任意指令。攻击者可以在系统上执行任意操作，如
安装程序、查看或更改、删除数据或创建系统管理员权限的帐
户。
攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP,
139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击。对于启动了
COM Internet服务和RPC over HTTP的用户来说，攻击者还可能
通过80/TCP和443/TCP端口进行攻击。
风险度：
高

漏洞危害：
这个漏洞的危害不亚于MS03-026中描述的RPC漏洞。
此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻
击。由于Windows的DCOM实现在处理一个参数的时候没有检查长
度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢
出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统
上以本地系统权限运行代码。攻击者可以在系统中采取任何行
为，包括安装程序，窃取更改或删除数据，或以完全权限创建
新帐号。
鉴于处理上一个RPC漏洞的经验以及该漏洞的危害程度，在近
期可能就会出现针对该漏洞的攻击代码及蠕虫病毒，如果不引起
足够的重视，可能仍然会像Nachi蠕虫一样对网络造成致命的打
击。
解决办法：
针对以上漏洞，CCERT建议用户对您的机器采取以下措施：
1、下载安装相应的补丁程序：
由于这个漏洞跟8月冲击波(MSBlaster)和冲击波杀手(Nachi)
所用的漏洞不同，补丁KB823980及sp4对该漏洞无效，针对该漏
洞微软已经发布了相应的安全公告与补丁程序，你可以到我们的
网站下载，由于这个漏洞影响重大，我们建议您马上下载补丁程
序并安装：
winnt Workstation 4.0 补丁：
中文版    英文版
winnt server 4.0补丁：
中文版    英文版
win2000补丁：
中文版    英文版
winxp补丁：
中文版    英文版
win2003补丁：
中文版    英文版

2、使用防火墙阻断如下端口：
135/UDP
137/UDP
138/UDP
445/UDP
135/TCP
139/TCP
445/TCP
593/TCP
3、如果因为某些原因无法打补丁或确实不能阻塞上述端口可以
考虑暂时禁用DCOM：
   打开"控制面板"-->"管理工具"-->"组件服务"。
   在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的
电脑"上单击右键，选"属性"。
   选取"默认属性"页，取消"在此计算机上启用分布式
COM"的复选框。
   点击下面的"确定"按钮，并退出"组件服务"。
   注意：禁用DCOM可能导致某些应用程序运行失败和系统运
行异常。包括一些重要系统服务不能启动，所以不推荐此种方
法。应尽量根据上面的介绍打补丁或使用防火墙阻塞端口来确保
系统安全。
注意：
1、补丁KB823980及sp4对该漏洞无效,必须要要下载这次的补
丁
2、由于DCOM已经被镶嵌到window的内核当中，因此我们不建
议您使用禁用DCOM的方法来防止该漏洞被利用，因为禁用DCOM可
能会导致您的系统出现许多未知的错误
参考连接：
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
http://www.cert.org/advisories/CA-2003-23.html

clement · 发表于 2003-9-21 18:40:07

瑞士联邦工学院是瑞士的顶级大学之一，它已经与一些高科技巨头建立了合作关系，向计算机病毒和黑客宣战。
　　瑞士联邦工学院与IBM、Sun公司实验室和瑞士信贷银行一起在瑞士建立了一个研究中心，提高数据网络抵御蠕虫、病毒攻击的能力。
　　苏黎世信息安全中心的高级研究人员戴维表示，我们希望利用这种合作关系，来强化苏黎世作为国际化信息安全研究中心的地位。
　　微软公司称，冲击波病毒给全球造成了数以百万计美元的损失。加强数据网络的安全性已经成为需求极大的一项技术，学术界已经对这种趋势作出了反应。苏黎世信息安全中心已经举行了为期1周的学术研讨会，讨论设立信息安全博士学位的问题。包括汉保大学在内的一些顶尖学府已经开设了高级网络安全课程。
　　英国反病毒软件厂商Sophos公司的顾问格雷厄姆表示，IT安全已经成为一个热门话题，这将是一个高薪职位。

clement · 发表于 2003-9-21 18:43:49

〔请大家注意〕
一种攻击Windows操作系统的新型蠕虫把自己伪装成了微软的官方病毒警告。这种病毒名为“Swen”，通过电子邮件传播，似乎没什么大的伤害，但是安全专家说最糟糕的是作者对它的伪装，这意味着病毒和蠕虫在攻击的诡计方面达到了新的水平。
　　防病毒公司“F-Secure”的马加拉尼斯表示：“这种创意我们以前从未见过，这封信很像真的，一定采用了什么先进的社会工程技巧。”。这种蠕虫利用的是几乎两年前发现的IE安全漏洞，没有下载补丁的用户将会立即受到影响。甚至下载了补丁的用户如果点击附件也会受到感染，一旦启动，病毒会启动一个很像是微软安全升级安装程序的过程。
　　这种蠕虫伪装成了安装程序，它会问：“下面将安装微软安全升级，你想要继续吗？”点击“是”的用户将看到蠕虫安装进程的图片，即使用户点击“不”，仍然会安装蠕虫。一旦安装，蠕虫将试图使防毒软件和防火墙无效，因此很难在感染的机器中删除蠕虫。
　　赛门铁克为删除蠕虫发布了免费软件，还能恢复防毒设置，适用于所有微软用户。专家称该蠕虫似乎没有从事恶意行为，如删除文件或安装特洛伊木马。感染“Swen”的计算机将出现第二个对话框，表示电子邮件程序在发送邮件时遇到了麻烦，需要最新的信息，如有效的电子邮件地址、用户名和口令。
　　专家还没有看出蠕虫是否试图将这些发送给蠕虫的作者。蠕虫似乎会追踪感染的计算机，受感染的计算机有时会弹出一个彩色图片，显示一个六位数，但是防毒专家认为受感染的计算机数量被夸大了，赛门铁克认为，目前的传播速度是每小时近800台计算机。

		自动登录	找回密码
密码			注册

比冲击波更厉害 新病毒将再袭Windows

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。