5月17日,CNCERT/CC发现利用微软LSASS漏洞的新蠕虫“博巴克斯”出现。国际上普遍称之为“Bobax(W32.Bobax.A)”蠕虫,该蠕虫随机地搜索具有LSASS漏洞的主机进行传播。
CNCERT/CC已对该蠕虫作了分析并开始持续监测。
分析:
蠕虫感染系统后,做以下操作:
1.拷贝自己作为:
%System%\.exe
注意:%System%是个变量,默认应为下列路径C:\Windows\System (Windows 95/98/Me)、
C:\Winnt\System32 (Windows NT/2000)或C:\Windows\System32 (Windows XP)。
2.添加下列键值
"random_characters" = "%System%\.exe"
到下列注册表中的位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
3.发包到随机IP地址的TCP445端口。企图使用LSASS漏洞。如果成功,从远程HTTP服务器下载蠕虫并且执行。文件被保存为SYS.EXE。
注意:与震荡波病毒相仿,可能由于LSASS漏洞使用不当,导致系统关闭。
4.蠕虫在临时文件夹中建立.dll文件;这个文件会被注入Explorer.exe 进程当中,可能导致其不能运行。
5.在那些允许随机接入管理电子邮件收发的系统上随机打开端口。
受影响版本:
Windows 2000
Windows Server 2003
Windows XP
解决方案:
个人用户:
1.安装相应的补丁程序
2.如果无法及时安装补丁程序,请使用防火墙阻断以下端口的数据连接445/tcp。
网络用户:
(以Cisco设备为例)
在边界路由器上添加如下规则阻断445端口上的数据
access-list 110 deny tcp any any eq 445
注意使用此规则后,可能会影响到Microsoft-DS服务的正常运行。
手动清除:
(1)打开注册表编辑器,删除可疑非常规键值
(2)打开任务管理器查看是否存在进程名为:“可疑字符”.exe
(3)将%WINDIR%\system目录下的文件:SYS.exe和可疑的exe文件删除删除
注意: %Windir% 是一个变量。默认是C:\Windows或者C:\Winnt。
由于该病毒感染文件随机性较强,手工定位较为困难。建议及时升级防病毒软件,予以清除。
补丁下载:
www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx参考信息:
www.cert.org.cn/articles/bulletin/common/2004041421585.shtmlwww.microsoft.com/china/technet/security/bulletin/ms04-011.mspx
