W32.Blaster.Worm是一种蠕虫病毒。该蠕虫试图对Windows Update“拒绝服务”（Dos）攻击。攻击的目的是阻止用户使用针对DCOM RPC漏洞的修补程序。

W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]

6,176 bytes

Windows 2000, Windows NT, Windows Server 2003, Windows XP

CAN-2003-0352

根据 Symantec's DeepSight Threat Management 的报告和客户所提报的件数，赛门铁克安全响应已经将此威胁由等级 3 提升至等级 4。

W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 更多有关此漏洞

建议用户通过防火墙禁止对 4444 端口的访问，如果下列端口上不是在运行所列应用程序，请也禁止对这些端口的访问。

更多关于此漏洞的信息，以及哪个赛门铁克产品能纾解此漏洞造成的风险，请单击这里。

这个威胁可被以下病毒定义文件侦测：

* 定义版本：50811s

* 顺序编号：24254

* 扩展版本：8/11/2003, rev. 19

赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。

W32.Blaster.Worm Webcast

下列 Webcast 已经公布，其中讨论了缓解和补救策略，并提供了 DoS 攻击的详细描述：

http://enterprisesecuritycontent/webcastinfo.cfm?webcastid=63

* 病毒定义（每周 LiveUpdate™） 2003 年 8 月 11 日

* 病毒定义（智能更新程序） 2003 年 8 月 11 日

威胁评估

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Moderate

* 清除： Moderate

* 损坏级别： Medium

* 有效负载触发器： If the date is the 16th of the month until the end of that month if it's before August, and every day from August 16 until December 31.

* 有效负载： Performs Denial of Service against

* 导致系统不稳定： May cause machines to crash.

* 危及安全设置： Opens a hidden remote cmd.exe shell.

* 分发级别： Medium

* 端口： TCP 135, TCP 4444, UDP 69

* 感染目标： Machines with vulnerable DCOM RPC Services running.

如果执行 W32.Blaster.Worm，它会进行以下动作：

1. 建立一个名为 BILLY 的互斥体（Mutex）。如果这个互斥体已经存在，蠕虫会退出。

2. 新增下列值：

加入注册键：

因此，当您启动 Windows 时，蠕虫都会执行。

3. 计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下：

* 40% 情况下，算出的 IP 地址格式为 A.B.C.0，其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。

C 是根据被感染计算机 IP 地址的第三部分算出的，但 40% 情况下，算出的 IP 地址格式为 如果 C 大于 20，一个小于 20 的随机值会从 C 减除。计算出 IP 地址后，蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机，并利用其中的漏洞。

然后蠕虫将以 1 的步长递增 IP 地址的 0 部分，试图根据新的 IP 地址找到并利用其他计算机，直至达到 254。

* 生成的 IP 地址有 60% 的可能是完全随机的。

4. 在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一：一种是利用 Windows XP 的数据，一种是利用 Windows 2000 的数据。在 80% 的情况下，发送的是 Windows XP 数据，在 20% 的情况下，发送的是 Windows 2000 数据。

注意：

* 本地子网将充斥着端口 135 请求。

* 由于蠕虫构造漏洞数据的方式具有随机性，因此如果它发送了不正确的数据，可能导致计算机崩溃。

* 尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server，但如果运行这些操作系统的计算机没有安装补丁程序，则蠕虫利用它们就可能导致它们崩溃。然而，如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们，蠕虫也可以运行并传播。

* 如果 RPC 服务崩溃，Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能，请参阅下面相应的杀毒指导中的步骤。

5. 使用 Cmd.exe 创建隐藏的远程 shell 进程，该进程将侦听 TCP 端口 4444，从而允许攻击者在受感染系统上发出远程命令。

6. 侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时，会向该计算机发送 msblast.exe，并指示该计算机执行蠕虫。

7. 如果当前日期是一月份到八月份的 16 日到月底之间，或者当前月份是九月到十二月，蠕虫将试图对 Windows Update 执行 DoS 攻击。然而，只有在满足下列条件之一的情况下，执行 DoS 攻击的企图才会成功：

* 蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。

* 蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染，并且自从感染后没有重新启动。受到感染后已重新启动，并且当前登录的用户是 Administrator。

8. DoS 通信具有以下特征：

* 是在端口 80 上对 SYN 泛滥攻击。

* 每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。

* 每个包的长度为 40 个字节。

* 如果在 DNS 里找不到蠕虫会使用 255.255.255.255 作为目标地址。

9. TCP 和 IP 头的部分固定特征如下：

* IP 标识 = 256

* 生存时间 = 128

* 源 IP 地址 = a.b.x.y，其中 a.b 来自主机 ip，x.y 是随机值。在某些情况下，a.b 也是随机值。

* TCP 源端口介于 1000 和 1999 之间

* TCP 目标端口 = 80

* TCP 序列号的两个低位始终设置为 0，两个高位是随机值。

* TCP 窗口大小 = 16384

蠕虫含有如下文字，但永远不会显示出来：

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ?Stop making money and fix your software!!

缓解 DoS 有效载荷

自 2003 年 8 月 15 日起，Microsoft 已经删除了DNS 记录。但尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能，网络管理员还是可以采取下列建议以缓解 DoS 有效载荷：

* 重新路由到特殊的内部 IP 地址：如果有服务器侦听并捕获到 SYN 泛滥攻击，这将警告您计算机受到感染。

* 在路由器上配置防欺骗规则（如果尚未实施此过程）：这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。

Symantec Client Security

2003 年 8 月 15 日，Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Blaster.Worm 活动。

Symantec Gateway Security

* 2003 年 8 月 12 日，Symantec 发布了 Symantec Gateway Security 1.0 的更新。

* Symantec 的应用程序完全检查防火墙技术可以有效防御这个 Microsoft 安全漏洞，在默认情况下禁止所有上述端口。为获得最高的安全性，第三代应用程序完全检查技术有效禁止了利用 HTTP 信道的 DCOM 通讯通道（tunneling of DCOM traffic over HTTP channels），提供了其它最常见的网络过滤防火墙尚未提供的额外一层防护。

Symantec Host IDS

2003 年 8 月 12 日，Symantec 发布了 Symantec Host IDS 4.1 的更新。

Intruder Alert

2003 年 8 月 12 日，Symantec 发布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。

Symantec Enterprise Firewall

Symantec 完整的应用程序检查防火墙技术可抵御 W32.Blaster.worm，默认情况下会禁止上面列出的所有 TCP 端口。

Symantec ManHunt

* Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动，但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。

* Security Update 5 发布了特别针对 W32.Blaster.Worm 的签名以侦测 W32.Blaster.Worm 的更多特征。

* Symantec ManHunt 协议异常检测技术可以检测到与 DoS SYN 泛滥攻击相关联的活动。安全响应中心已经为 ManHunt 3.0 创建了自定义的特征，并发布在 Security Update 6 中，用于将此攻击专门检测为 Blaster DDoS 请求。

Enterprise Security Manager

Symantec 安全响应中心于 2003 年 7 月 17 日发布了针对此漏洞的响应策略。

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用 W32.Blaster.Worm 移除工具来移除蠕虫

除了使用杀毒工具，还可以手动消除此威胁。以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 还原 Internet 连接。

2. 终止蠕虫进程。

3. 获得最新的病毒定义。

4. 扫描和删除受感染文件。

5. 撤消对注册表所做的更改。

6. 获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞。

有关详细信息，请参阅下列指导：

1. 还原 Internet 连接

在很多情况下，不管是在 Windows 2000 还是在 XP 上，更改 Remote Call Procedure (RPC) 服务的设置可能允许您连接到 Internet，而不会关闭计算机。要还原 PC 的 Internet 连接，请执行下列操作：

1. 单击“开始”—“运行”。出现“运行”对话框。

2. 键入：

SERVICES.MSC /S

然后单击“确定”。“服务”窗口出现。

3. 在右窗格中，找到 Remote Procedure Call (RPC) 服务。

警告：还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。

4. 用鼠标右键单击 Remote Procedure Call (RPC) 服务，然后单击“属性”。

5. 单击“故障恢复”选项卡。

6. 使用下拉列表，将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。

7. 单击“应用”，然后单击“确定”。

警告：杀除蠕虫后，请务必将这些设置更改回原来的值。

2. 结束蠕虫程序

1. 按一次 Ctrl+Alt+Delete。

2. 单击“任务管理器”。

3. 单击“处理程序”卷标。

4. 连按两下“影像名称”字段标头以便以英文字母顺序进行排序。

5. 浏览一下清单并寻找 msblast.exe。

6. 如果您找到该档案，单击它并单击“结束处理程序”。

7. 结束“任务管理器”。

3. 更新病毒定义文件

Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

对于较新的计算机用户

运行 LiveUpdate，这是获得病毒定义最简便的方法：针对 W32.Blaster.worm 的病毒定义在 2003 年 8 月 11 日之后即可通过 LiveUpdate 服务器获得。要获得最新的病毒定义，请在您的 Symantec 产品的主用户界面中单击 LiveUpdate 按钮。运行 LiveUpdate 时，请确保只选中“Norton AntiVirus 病毒定义”。可以在稍后获得产品更新。

对于系统管理员和高级用户

使用智能更新程序下载定义：“智能更新程序”病毒定义在美国工作日发布（周一至周五）。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于该威胁的定义，请参考病毒定义（智能更新程序）。

有关获得“智能更新程序”病毒定义的详细指导，请阅读文档：如何使用智能更新程序更新病毒定义文件。。

4. 扫描并删除受感染的档案

1. 启动您的赛门铁克防毒程序，确定已架构为扫描所有档案。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 执行完整系统扫描。

3. 如果侦测到任何受 W32.Blaster.Worm 感染的档案，请单击“删除”。

5. 恢复对注册键所做的变更

警告：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的键。如需详细指示，请阅读“如何备份 Windows 注册表”文件。

1. 单击“开始”，然后单击“执行”。（将出现“运行”对话框。）

2. 键入 regedit，然后单击“确定”。（将打开注册表编辑器。）

3. 跳到这个键：

4. 删除右边窗格中的值：

windows auto update

5. 结束并离开注册表编辑器。

6. 获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞

W32.Blaster.Worm 是一种通过 TCP 端口 135，利用 DCOM RPC 漏洞感染 PC 的蠕虫。W32.Blaster.Worm 还会试图使用您的 PC 对 Microsoft Windows Update Web 服务器 执行 DoS 攻击。要修复此漏洞，请从 Microsoft Security Bulletin MS03-026 获得 Microsoft 热修复工具，这点很重要。

描述者： Douglas Knowles, Frederic Perr