W32.Blaster.Worm

發現時間： 2003.08.11

上次更新時間： 2004.06.17

根據 Symantec's DeepSight Threat Management 的報告顯示與客戶所提報的件數，賽門鐵克安全機制應變中心已經將此威脅由等級 3 提昇至等級 4。

W32.Blaster.Worm 使用 TCP 埠號 135 來探測 DCOM RPC 弱點 (詳述於 Microsoft Security Bulletin MS03-026)。此病蟲的攻擊目標僅針對 Windows 2000 以及 Windows XP 機器。雖然未正確安裝修補程式的 Windows NT 及 Windows 2003 Server 機器容易受到上述探測程式的入侵，但是此病蟲的編碼並不會複製那些系統。此病蟲會試著將 msblast.exe 檔下載至 %WinDir%\System32 資料夾，然後執行該檔案。此病蟲不具有大量郵件寄送的功能。

請通過防火墻禁止 TCP 4444 埠上的存取。如果下列埠不是在使用所列應用程式，也請禁止在下列埠上的存取：

TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"

該病蟲試圖對 Windows Update 執行「拒絕服務」（DoS）攻擊。其目的是阻止你使用針對 DCOM RPC 弱點的修正程式。

更多關於此弱點的訊息，以及哪個賽門鐵克產品能紓解此弱點帶來的風險，請按此處。

注意： 這個威脅可被以下病毒定義檔偵測：

定義版本：50811s
順序編號：24254
延伸版本：8/11/2003, rev. 19

賽門鐵克安全機制應變中心已開發出可清除 W32.Blaster.Worm 感染的移除工具。

W32.Blaster.Worm Webcast
賽門鐵克已提供下列網路直播 (Webcast)，內容是討論舒緩及補救策略，並提供阻絕服務 (DoS) 攻擊的詳細說明：
http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63

也稱做: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]

類型: Worm

感染長度: 6,176 bytes

受影響的系統: Windows 2000, Windows NT, Windows Server 2003, Windows XP

未受影響的系統: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me

CVE 參照: CAN-2003-0352

病毒定義檔 (每周的LiveUpdate™)

2003.08.11

病毒定義檔 (Intelligent Updater)

2003.08.11

威脅評估

兇猛

感染數量: 大於 1000
站台數量: 大於 10
地理區域分佈: 高
威脅控制: 中等
移除能力: 中等

威脅方式

兇猛 : 低	損害: 中	散佈: 中

損害

酬載:
- 造成系統不穩: 可能導致電腦當機。
- 破壞安全設定: 啓動一個可遠端控制的指令殼層。

散佈

通訊埠: TCP 135, TCP 4444, UDP 69
感染目標: 執行 DCOM RPC 服務的電腦。

技術細節

如果執行 W32.Blaster.Worm，它會進行以下動作：

建立一個名為 BILLY 的 Mutex。如果這個 mutex 已經存在，病蟲會自動結束。
新增下列值：
"windows auto update"="msblast.exe"

加入登錄鍵：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此，當您啟動 Windows 時，病蟲就會執行。
產生一個 IP 位址，並試圖感染具有該位址的電腦。其 IP 位址是根據下列演算法所產生的：
- 在 40% 的可能情況下，所產生的 IP 位址具有 A.B.C.0 的型式；其中，A 與 B 等於受感染電腦的 IP 位址的前兩個部份。
  
  C 也是由受感染系統的 IP 位址的第三部份所計算出來的；但是，在 40% 的可能情況下，病蟲會檢查 C 是否大於 20。若是如此，便從 C 中減去低於 20 的隨機值。一旦 IP 位址計算出來後，此病蟲會試圖找出並探測 IP 位址為 A.B.C.0 的電腦。
  
  接著病蟲會由 1 開始遞增 IP 位址的 0 部份 (直到 254)，以根據新的 IP 位址找出並探測其它電腦。
- 而在 60% 的可能情況中，所產生的 IP 位址完全是隨機的。
傳送資料至 TCP 埠號 135，藉以探測 DCOM RPC 弱點。病蟲會傳送下列兩種類型資料的其中一種：探測 Windows XP 或 Windows 2000。在 80% 的可能情況下，它會傳送 Windows XP 的資料；而在 20% 的可能情況下，它會傳送 Windows 2000 的資料。

注意：
使用 Cmd.exe 可建立隱藏的遠端 shell 程序，該 Shell 會監聽 TCP 埠號 4444 的流量，讓攻擊者可以在遠端傳送指令至受感染的系統。
監聽 UDP 埠號 69。當病蟲收到來自使用 DCOM RPC 探測程式進行連線的電腦的要求時，它會傳送 msblaster.exe 至該電腦，並告知執行該病蟲。
如果當日為 1 月至 8 月中的 16 號至月底，或者當月為 9 月至 12 月，則病蟲會試圖對 Windows Update 進行 DoS 攻擊。但是，只有當下列其中一個條件成立時，DoS 攻擊的企圖才會得逞：
- 病蟲執行的 Windows XP 電腦在酬載期間受到感染或者重新開機。
- 此病蟲執行的 Windows 2000 電腦在酬載期間受到感染，並且自從受感染後就未再重新開機。
- 此病蟲執行的 Windows 2000 電腦自從受感染後就未在酬載期間重新開機，並且目前登入的使用者為「管理員」。
DoS 流量具有下列特徵：
- 在 windowsupdate.com 的埠號 80 上有 SYN 流量。
- 試圖每秒傳送 50 個 RPC 封包及 50 個 HTTP 封包。
- 每個封包長度為 40 位元組。
- 如果病蟲在 DNS 裏找不到 windowsupdate.com，它會使用 255.255.255.255 作爲目標位址。

某些 TCP 及 IP 表頭的固定特徵為：

IP 識別 = 256
存留時間 = 128
來源 IP 位址 = a.b.x.y，其中 a.b 來自於主機 ip，而 x.y 則為隨機的。在某些情況下，a.b 是隨機的。
目的 IP 位址 = 「windowsupdate.com」的 dns 解析
TCP 來源埠介於 1000 與 1999 之間
TCP 目的埠 = 80
TCP 順序編號永遠會將兩組低位元組設定為 0；而兩組高位元組則為隨機的。
TCP Window 大小 = 16384

病蟲含有如下文字，但永遠不會顯示出來：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!

舒緩阻絕服務 (DoS) 酬載
由於 2003 年 8 月 15 日的事件，Microsoft 已經移除了 DNS 記錄 windowsupdate.com。儘管病蟲的阻絕服務部分將不會影響 Microsoft 的 Windows Update 功能，但是網路管理員可以使用下列建議事項來舒緩阻絕服務酬載：

將 windowsupdate.com 重新導向特殊的內部 IP 位址：如果您有伺服器正監聽以取得 SYN flood 的話，這樣做將可以提醒您機器已經受到感染。
在路由器上架構防假冒騙術的規則 (若尚未建置)：這樣做可以避免封包離開網路。使用 uRPF 或對外 (egress) ACL 很有效。

Symantec Client Security
賽門鐵克於 2003 年 8 月 15 日透過 LiveUpdate 發行 IDS 簽章以偵測 W32.Blaster.Worm 活動。

Symantec Gateway Security

賽門鐵克在 2003 年 8 月 12 日發行 Symantec Gateway Security 1.0 的更新檔。
Symantec's 應用程式完全檢測防火墻技術能有效防禦 Microsoft 安全弱點，在預設情況下禁止所有上述 TCP 埠。為獲得最高安全性，第三代應用程式完全檢測技術禁止了使用 HTTP 頻道的 DCOM 通訊通道（tunneling of DCOM traffic over HTTP channels），提供了其它常見網路篩選防火墻尚未提供的額外一層防護。

Symantec Host IDS
賽門鐵克在 2003 年 8 月 12 日發行 Symantec Host IDS 4.1 的更新檔。

Intruder Alert
賽門鐵克在 2003 年 8 月 12 日發行 Intruder Alert 3.6 W32_Blaster_Worm Policy。

Symantec Enterprise Firewall
賽門鐵克的完整應用程式監視防火牆技術能抵擋 W32.Blaster.worm 的入侵，並根據預設值攔截上述所有 TCP 通訊埠。

Symantec ManHunt

賽門鐵克 ManHunt 通訊協定異常偵測技術能夠偵測出與此「通訊埠掃描」相關的探測活動。雖然 ManHunt 可以利用此通訊協定異常偵測技術來察覺與此探測相關的活動，但是您可以使用 Security Update 4 所發佈的「Microsoft DCOM RPC 緩衝區溢位」自訂攻擊特徵，正確辨識出所傳送的探測類型。
Security Update 5 發佈特別針對 W32.Blaster.Worm 的簽章來偵測 W32.Blaster.Worm 的更多特徵。
賽門鐵克 ManHunt 通訊協定異常偵測技術能夠偵測出與 DoS SYN flood 相關的活動。「安全機制應變中心」已經為 ManHunt 3.0 建立了自訂簽章 (發佈於 Security Update 6) 以專門偵測 Blaster DDoS Request這種攻擊方式。

Enterprise Security Manager
「賽門鐵克安全機制應變中心」於 2003 年 7 月 17 日公佈此弱點的「應變原則」。

「賽門鐵克安全機制應變中心」建議所有的使用者與管理員遵照下列基本的安全手則「最佳範例」執行管理：

關閉並移除不必要的服務。很多作業系統會預設安裝非必要的附屬服務項目，例如 FTP 用戶端、telnet 以及 Web 伺服器。這些服務等於提供了病毒攻擊的目標。當這些服務移除之後，混合型威脅就比較不容易找到下手的目標，同時您在進行系統的修補更新時也不需要維護很多的服務。
如果混合型威脅偵測到一個以上的網路服務，在執行修補程式之前請先關閉或封鎖存取這些服務。
永遠保持您的修補程式在最新的狀態，特別是針對那些代管公共服務以及可以透過防火牆存取的服務主機，例如 HTTP、FTP、郵件以及 DNS 服務。
強制施行密碼原則。在遭到破壞的電腦上，複雜的密碼機制將使駭客更難解開受密碼保護的檔案。這樣一來，當電腦遭受破壞時，可以有效降低資料的損害程度。
請將您的郵件伺服器設定為封鎖或移除所有內含.vbs、.bat、.exe、.pif 與 .scr 等副檔名之附件的郵件。
接著將這些受感染的電腦快速隔離到網路外，以避免危害整個公司的運作。這時候請仔細檢查這些受感染的電腦，並使用可信賴的媒體來還原至可用狀態。
訓練員工不要開啟含有上述副檔名的郵件，除非已事先知情這些郵件內容。同時，不要執行從 Internet 上下載的軟體，除非他們已經掃毒過。當您造訪一個受感染的網站時，如果您的瀏覽器未安裝好弱點修補程式的話，您的電腦很容易就會受到感染。

使用 W32.Blaster.Worm 移除工具來移除病蟲
賽門鐵克安全機制應變中心已開發出可清除 W32.Blaster.Worm 感染的移除工具請先試用此工具，因為它是移除這類威脅的最簡易方法。

手動移除
除了可以使用移除工具外，您還可以手動移除病蟲。

下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫，包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。

恢復 Internet 連線。
結束病蟲程序。
取得最新的病毒定義檔。
掃描並刪除受感染的檔案
恢復對登錄所做的變更。
取得 Microsoft HotFix 以修正 DCOM RPC 弱點。

如需關於這些步驟的詳細資訊，請閱讀下列指示。

1. 恢復 Internet 連線
在大多數情況下 (同時適用於 Windows 2000 及 XP)，變更 Remote Call Procedure (RPC) (遠端程序呼叫) 服務的設定可以讓您連接至 Internet 而無需關閉電腦。若要恢復您電腦的 Internet 連線，請執行下列步驟：

按下「開始」>「執行」。畫面上會出現「執行」對話方塊。
在開啟行中輸入：
SERVICES.MSC /S

然後按下「確定」。畫面會出現「服務」視窗。
在右方窗格中，找出 Remote Procedure Call (RPC) 服務。

注意：清單中也有一個名為 Remote Procedure Call (RPC) Locator 的服務。請勿混淆。
用滑鼠右鍵按下 Remote Procedure Call (RPC) 服務，然後再按下「內容」。
按下「回復」標籤。
使用下拉式清單將「第一次失敗時」、「第二次失敗時」以及「後續失敗時」都變更為「重新啟動服務」。
按下「套用」，然後按下「確定」。

注意：請務必在移除此病蟲之後，將這些設定都變更回原來的設定。

2. 結束病蟲程序

按一次 Ctrl+Alt+Delete。
按下「工作管理員」。
按下「處理程序」標籤。
連按兩下「影像名稱」欄位標頭以便以英文字母順序進行排序。
瀏覽一下清單並尋找 msblast.exe。
如果您找到該檔案，按下它並按下「結束處理程序」。
結束「工作管理員」。

3. 更新病毒定義檔
賽門鐵克安全機制應變中心在將所有病毒定義檔公佈於伺服器之前已完成品質測試。您可以使用下列兩種方式來取得最新的病毒定義檔：

適用於一般電腦使用者

執行 LiveUpdate 是獲得病毒定義檔的最簡單方法：W32.Blaster.worm 的病毒定義檔，從 2003 年 8 月 11 日起即可透過 LiveUpdate 伺服器下載。若要取得最新的病毒定義檔，請在賽門鐵克產品的主要使用者介面中按下 LiveUpdate 按鈕。執行 LiveUpdate 時，請確定只勾選「

病毒定義檔 (LiveUpdate)

」。產品更新檔可以稍後再另外取得。

適用於系統管理員及進階使用者

使用 Intelligent Updater 下載定義檔：Intelligent Updater 的病毒定義檔會在美國的工作日 (星期一到星期五) 公佈。您必須由「賽門鐵克安全機制應變中心」網站手動下載及安裝定義檔。若要決定此威脅的定義檔是否可由 Intelligent Updater 取得，請參閱「

病毒定義檔 (Intelligent Updater)

」。

您可在

此處

取得 Intelligent Updater 病毒定義檔。如需關於如何從「賽門鐵克安全機制應變中心」網站下載及安裝 Intelligent Updater 病毒定義檔的詳細資訊，

請閱讀「如何使用 Intelligent Updater 來更新病毒定義檔

」。

4. 掃描並刪除受感染的檔案

啟動您的賽門鐵克防毒程式，確定已架構為掃描所有檔案。
- Norton AntiVirus 消費者產品：請閱讀「如何設定 Norton AntiVirus 以掃描所有檔案」文章。
- 賽門鐵克企業版防毒產品：請閱讀「如何確認 Symantec Corporate AntiVirus 產品已設定為掃瞄所有檔案」文章。
執行完整系統掃描。
如果偵測到任何受 W32.Blaster.Worm 感染的檔案，請按下「刪除」。

5. 恢復對登錄所做的變更

警告：對系統登錄進行任何修改之前，賽門鐵克強烈建議您最好先替登錄進行一次備份。對登錄的修改如果有任何差錯，嚴重時將會導致資料遺失或檔案受損。只修改指定的登錄鍵。如需詳細指示，請閱讀「如何備份 Windows 登錄」文件。

按下「開始」，然後按下「執行」。(畫面上便會出現「執行」對話方塊。)
鍵入 regedit
然後按下「確定」。(「登錄編輯器」會開啟。)
跳到這個鍵：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
刪除右邊窗格中的值：
windows auto update
結束並離開「登錄編輯器」。

6. 取得 Microsoft HotFix 以修正 DCOM RPC 弱點
W32.Blaster.Worm 是一隻會使用 TCP 埠號 135 來探測 DCOM RPC 弱點以感染電腦的病蟲。W32.Blaster.Worm 同時會試著利用您的電腦在 Microsoft Windows Update Web 伺服器 (windowsupdate.com) 上面執行 DoS。若要修正這個問題，請務必取得 Microsoft Hotfix，其位於： Microsoft Security Bulletin MS03-026。

修訂歷史:

2003 年 8 月 20 日：

新增 Symantec Client Security 的參照。

2003 年 8 月 15 日：

新增關於化解阻絕服務 (DoS) 攻擊的額外建議。
新增 Symantec NetRecon 的更新檔參照以及「賽門鐵克弱點評估」。
新增連結至 Symantec Webcast。
關於 Symantec ManHunt 更新檔的額外資訊。

2003 年 8 月 14 日：

更新 DoS 酬載資訊。
新增關於 DoS 流量的資訊。

2003 年 8 月 13 日：

重新排列移除指示的重要步驟。
新增下載位置。
次要的格式化更新檔。
從移除指示中移除 Windows 系統還原的指示

2003 年 8 月 12 日：

由於提報率增加，由第 3 級提高為第 4 級。
新增其它別名。
更新「技術說明」一節。
新增關於變更 RPC 的設定資訊至「移除指示」。

報導撰寫人: Douglas Knowles, Frederic Perriot, Peter Szor