从今天凌晨开始,许多用户的系统就不停的重新启动。现在已经查明是两种蠕虫病毒利用RPC服务的漏洞对网络中的计算机进行攻击。该两种病毒名为“爆破工(Worm.Blaster)”和“异形(Worm.Rpc.Zerg)”,微软已经放出了该漏洞的补丁,请大家赶快去下载。
发作时弹出强行重启窗口
以下是该病毒的一些资料:
漏洞现象:Windows系统不稳定出现SCVHOST错误,开机后无法进行复制、粘贴等操作,无法打开OUTLOOK或IE等程序,机器在1~2分内出现RPC错误重新启动。
威胁程度:Microsoft RPC为远程管理员权限,MS WINDOWS 2000 RPC为远程拒绝服务
错误类型:Microsoft RPC为设计错误,MS WINDOWS 2000 RPC为输入验证错误
利用方式:Microsoft RPC为服务器模式、MS WINDOWS 2000 RPC为客户机模
Microsoft RPC CVE(CAN) ID:CAN-2003-0352
受影响系统
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
需要说明的是已经装有SP4的系统也需要安装补丁
详细描述
Microsoft RPC :Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议,提供进程间交互通信,允许程序在远程机器上运行任意程序。
RPC在处理通过TCP/IP进行信息交换过程中存在漏洞,问题由于不正确处理畸形消息造成。主要此漏洞影响使用RPC的DCOM接口,监听RPC使能的接口,这个接口处理DCOM对象激活请求。攻击者如果成功利用此漏洞,可以以系统用户权限执行任意代码。
要利用这个漏洞,可以发送畸形请求给远程服务器监听的特定RPC端口。如135、139、445等任何配置了RPC端口的机器。
MS WINDOWS 2000 RPC :WINDOWS的RPC服务(RPCSS)存在漏洞,当发送一个畸形包的时候,会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务,许多应用和服务程序都依赖于他,因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。
技术分析
问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上,当传送一个特定包导致解析一个结构的指针参数为NULL的时候, __RemotoGetClassObject 未对此结构指针参数有有效性检查,在后续中就直接引用了此地址(此时为0)做读写操作,这样就导致了内存访问违例,RPC服务进程崩溃。
危害
攻击之后,许多基于RPC的应用无法使用,如使用网络与拨号连接拨号,配置本地连接等,一些基于RPC,DCOM的服务与应用将无法正常运行。 由于RPC服务是MS WINDOWS中一个重要的服务,他开放的135端口同时用于DCOM的认证,epmapper管道用于RPC端点的影射,并默认为系统信任,如果一个攻击者能够以低权限在被攻击机器上运行一个程序,在RPC服务崩溃以后,就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。
解决方案
比较有效的防范方法是:关闭传播端口、安装新补丁。
网络控制方法:
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69 用于文件下载
TCP Port 135 微软:DCOM RPC
补丁下载:
Windows NT 4.0 Server :
Windows NT 4.0 Terminal Server Edition:
Windows 2000:
Windows XP 32 bit Edition :
Windows XP 64 bit Edition:
Windows Server 2003 32 bit Edition:
Windows Server 2003 64 bit Edition:
Windows2000 中文版
Windows XP 中文版
Windows 2003 中文版
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E
相关信息请参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
如果升级了补丁你还是解决不了问题,只有用终极修改法了:杀毒:拒绝蠕虫,手把手教你关闭135端口
(pcpop)
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章 爱思助手怎么导入微信i苹果助手怎么修复闪退2014年度十大手机排行wifi万能钥匙怎么用啊
最新文章
手机如何安装电脑软件使用Total Control手机
如何使用Total Control进行手机APP性能测试如何使用Total Control 在电脑端收发手机消如何使用Total Control 投屏录屏软件分享手Total Control电脑控制手机软件如何进行脚本
人气排行 一键刷机哪个好 四大安卓刷机软件评测手机SIM卡读不出来怎么办?手机SIM卡不识别解USB调试在哪里打开 手机USB调试模式设置大全完美刷机怎么救砖 手机变砖后怎么办爱思助手备份shsh教程 爱思助手怎么备份SHwifi万能钥匙怎么用啊 wifi万能钥匙电脑版逍遥安卓模拟器怎么用 逍遥安卓模拟器安装使苹果手机怎么退出恢复模式 怎么用爱思助手
查看所有0条评论>>