黛蛇蠕虫变种(Dasher.B)的解决方案
Dasher.B蠕虫运行后,会扫描并试图利用漏洞攻击目标主机,目标主机的地址是蠕虫携带的地址列表生成的,多数地址瞄准了中国用户。
该蠕虫攻击目标主机成功后,会操纵目标主机自动连接到某控制服务器的53号端口请求黑客指令,然后根据该黑客指令从某个ftp服务器下载并运行一个键盘记录软件和Dasher蠕虫文件包,从而完成传染过程。其中存放恶意代码的ftp服务器的地址是由控制服务器动态指定的。
蠕虫从ftp服务器上下载的0.exe文件是可解压缩运行的键盘记录软件,该键盘记录软件会记录用户按键操作,并自动连接某网站下载执行sdbot僵尸程序,以加强对目标主机的控制。下载的1.exe文件经解压缩执行后,在系统目录(C:\windows\system32或C:\winnt\system32)下的wins目录释放出6个可执行文件,分别为Sqltob.exe,Sqlscan.exe,Sqlexp.exe, Sqlexp1.exe, Sqlexp2.exe, Sqlexp3.exe。其中:
Sqlexp.exe攻击 MS04-045 wins服务漏洞,协议和端口为TCP/42
Sqlexp1.exe攻击 MS05-039 upnp漏洞,协议和端口为TCP/445
Sqlexp2.exe 攻击 MS05-051 msdtc漏洞,协议和端口为TCP/1025
Sqlexp3.exe利用sql hello exploit工具攻击MS SQLServer漏洞,协议和端口为TCP/1433.
攻击日志保存在系统目录下的wins目录的result.txt.
解决方案:
1)手工检查:
查看系统上是否存在Sqltob.exe,Sqlscan.exe,Sqlexp.exe, Sqlexp1.exe, Sqlexp2.exe, Sqlexp3.exe文件,如果存在,将进程停止并删除相应文件。
2)升级补丁:
用户应立刻升级MS05-051、MS04-045、MS04-039补丁程序。
补丁下载位置:
http://www.microsoft.com/technet/security/Bulletin/MS05-051.mspx
http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx
http://www.microsoft.com/technet/security/bulletin/MS05-045.mspx
漏洞详细信息请参考CNCERT/CC漏洞公告CN-VA05-063,地址:
http://www.cert.org.cn/articles/vulnerability/common/2005101222484.shtml
同时注意及时升级防病毒软件。
3)工具查杀:
建议用户安装防病毒软件,并更新到最新版本,然后对系统进行彻底查杀。 |
设为首页
加入收藏
联系我们