|
|
| |
|
“红色代码”病毒未平“蓝色代码”病毒又被擒获
|
www.jiangmin.com.cn 2002-11-30 16:01:45
信息出自:江民科技
|
| |
又一种专门攻击Windows NT和Windows 2000系统恶性网络蠕虫“CodeBlue(蓝色代码)”病毒,已经开始我国部分用户中流行。我国反病毒应急处理成员单位、北京江民新科技术有限公司9月5日接到告急用户后,连夜编写出了新的升级杀毒库。江民公司立即将该病毒上报“国家计算机病毒应急中心”。
我国著名的反病毒专家王江民警告说:该病毒利用了微软IIS服务程序的漏洞来进行传播。微软IIS 4.0 / 5.0 存在扩展UNICODE目录遍历漏洞,该漏洞既是一远程漏洞,同时也是一本地漏洞。受影响的版本有:
Microsoft IIS 5.0 + Microsoft Windows NT 2000
Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5
-Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0
-Microsoft Windows NT 4.0
IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞,导致可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
对于IIS 5.0/4.0中文版,当IIS收到的URL请求的文件名中包含一个特殊的编码例如"%c1%hh" 或者"%c0%hh",它会首先将其解码变成:0xc10xhh, 然后尝试打开这个文件,Windows 系统 认为0xc10xhh可能是unicode编码,因此它会首先将其解码,如果0x00<= %hh < 0x40的话,采用的 解码的格式与下面的格式类似:
%c1%hh -> (0xc1 - 0xc0) * 0x40 + 0xhh
%c0%hh -> (0xc0 - 0xc0) * 0x40 + 0xhh
因此,利用这种编码,我们可以构造很多字符,例如:
%c1%1c -> (0xc1 - 0xc0) * 0x40 + 0x1c = 0x5c = '/'
N %c0%2f -> (0xc0 - 0xc0) * 0x40 + 0x2f = 0x2f = '\'
攻击者可以利用这个漏洞来绕过IIS的路径检查,可潜入木马程序或去执行或者打开任意的文件。
如果系统包含某个可执行目录,就可能执行任意系统命令。例如:下面的URL可能列出当前目录的内容:
http://www.victim.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
例如,利用下面这个漏洞查看系统文件内容也是可能的:
http://www.victim.com/a.asp/..%c1%1c../..%c1%1c../winnt/win.ini
“蓝色代码”病毒发送:
“GET /scripts/..XX..XX..XX..XX..XX../winnt/system32/cmd?/c+dir”
请求如果成功,则表明漏洞存在。其中XX是特定字符串,IIS服务器会把它作UNICODE字符串解释,解释结果错误地为“\”,也就是WINDOWS的路径分隔符,这就是UNICODE漏洞。
该“蓝色代码”病毒带了9个字符串,“%255c,%c1%1c,%c0%2f,%c0%af,%c1%9c,%%35%63,%%35c,%25%35%63,%252f。
“蓝色代码”病毒利用这个漏洞来绕过IIS的路径检查,植入木马文件httpext.dll,病毒向被感染主机发请求:“GET /scripts/httpext.dll”。此请求导致被感染主机的IIS服务器运行C:\inetpub\scripts子目录中的隐含程序httpext.dll,httpext.dll将检查被感染主机是否有“CodeBlue”,如果没有,httpext.dll就释放出隐含的svchost.exe木马程序,其长为14336字节,并运行它,它再释放出D.VBS程序。使用WIN2K的进程管理器可以看到,该进程svchost.exe被启动了多次;同时会有许多的WSCRIPT.EXE进程运行(配合C:\D.VBS程序的运行)。
还有一个特点是SVCHOST.EXE每一个进程的线程数迅速增加到100个以上。此时系统运行速度非常慢,CPU占用率急速上升,甚至瘫痪,就是停止系统的IIS Admin服务,也没有作用。
对于感染的机器或者服务器的IP地址似乎是随机的,没有明显的规律可寻。如果符合感染条件的话,感染是非常迅速的。
如果感染了CodeBlue网络蠕虫病毒的话,在WIN2K“系统信息”的“软件环境”下的“启动程序”中可以看到程序名称为:Domain Manager (域名管理器)。该程序的具体的指向是c:\svchost.exe, 该文件可以为所有的用户来使用。
该文件SVCHOST.EXE还会创建一个脚本文件D.VBS, 被修改的系统会运行D.VBS。
该脚本程序运行时将停止所有“.IDA,.IDQ,.PRINTER”的系统服务;同时提供遍历UNICODE目录条件。
“红色代码病毒”主要攻击IIS中的索引服务,而“蓝色代码病毒”针对IIS自身的Unicode漏洞,攻击范围更广,传染性更强,黑客程序运行后将全面控制被感染的系统,局域网所有机器将被感染。
病毒修改被感染机中注册表中有关IIS的设置,在系统的注册表中增加了键值:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN ,
其中有字符串键值Domain Manager, 该文件是引用的c:\svchost.exe。并在开机时,黑客程序将自动运行。
“蓝色代码病毒”还企图访问地址为211.99.196.135绿盟科技公司的网站,期望象红色代码的攻击手法一样,对绿盟科技的网站进行Dos攻击,但是其条件不易满足。
解决“蓝色代码”病毒方案
1、用KV3000杀毒软件查杀和防范,删除病毒程序:SVCHOST.EXE,HTTPEXT.DLL,D.VBS
2、将以下键值svchost.exe删掉
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
将Domain Manager的数值svchost.exe删除。
3、如果不需要可执行的CGI,可以删除可执行虚拟目录,例如 /scripts等等。
4、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
5、厂商补丁:微软已经发布了一个安全补丁,可以从下列地址下载:
http://www.microsoft.com/Windows2000/downloads/critical/q293826/download.asp
|
| |
|
|
|
|