针对MSBlast蠕虫病毒一点分析 -电脑资料

故渊分享2019-03-07 05:44:23 次阅读

　　漏洞说明：

　　RPC（RemoteProcedureCall）BufferOverrun蠕虫漏洞，微软于7月16日发布此漏洞的安全补丁（MS-0326），

针对MSBlast蠕虫病毒一点分析

。漏洞原理及攻击代码最早为Flashsky发布在安全焦点，发布时并有安全会有针对此漏洞的蠕虫病毒，２个星期之后病毒代码被病毒作者利用写出MSBlast蠕虫病毒。还没等用户更新此安全补丁，就己经导致MSBlast蠕虫病毒在全球范围内大规模传播，相信这几天MSBlast蠕虫病毒将会导致更多使用者受此病毒的攻击。微软公司针对此漏洞进行详细讲解。

　　微软针对缺陷的安全补丁：http：//www.microsoft.com/technet/treeview/？url=/technet/security/bulletin/MS03-026.asp

　　病毒浅析：

　　该病毒使用C编写，病毒可执行使用UPX软件压缩之后总长度为6176字节，在病毒程序中包含Flashsky编写的漏洞攻击代码，说明该病毒是利用Flashsky编写的攻击代码。此攻击代码主要针对windows2000操作系统而编写，攻击代码中包含绝大部分Widnows2000溢出文件偏移地址，针对NT4XP2003溢出攻击都不会成功，因为操作系统版本不相同，溢出文件偏移地址也不相同，溢出不成功将会导致RemoteProcedureCall（RPC）服务停止，文件复制贴粘无法使用，COM属性无法正常使用。NT4XP2003操作系统溢出不成功将会导致RPC服务被终止，而PRC服务进程被异常终止之后可能会导致计算机重新启动。PRC服务通讯则依赖TCP/135端口进行通讯。

　　病毒执行之后将会在%SystemRoot%\system32\目标下生成msblast.exe病毒可执行文件。并在注册表添加自运行键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，键值项目名称为windowsautoupdate，键值会批向%SystemRoot%\system32\msblast.

exe目录下，病毒程序进程名为msblast.exe，

电脑资料

《针对MSBlast蠕虫病毒一点分析》()。蠕虫病毒成功执行后并在本机创建TFTPUDP/69服务端，如果溢出攻击成功，则利用cmd.exe绑定目标主机TCP/4444端口，发送TFTP下载命令将病毒文件msblast.exe复制到目标操作系统。病毒程序将向当前IP地址C段发送SYN封包扫描。完成C段IP扫描之后病毒程序将会随机产生IP地址向外部进行扫描，病毒程序在进行扫描过程中会消耗大量网络资源及系统资源。

　　蠕虫病毒攻击代码针对WindowsXP2003操作系统并不会成功，但会造成WindowsXP2003PRC服务停止，导致操作系统重新启动。

　　发现蠕虫病毒中文本数据：billygateswhydoyoumakethispossible？Stopmakingmoneyandfixyoursoftware！

　　感染步骤：

　　首先A主机感染之后向B主机发送攻击代码：

　　如果攻击成功：

　　（1）开启B机器TCP/4444端口，发送TFTP下载命令将A主机上的病毒文件复制到B主机并执行。执行之后B机器又会向其它IP地址进行扫描并进行溢出攻击。

　　如果攻击失败：

　　（1）B主机屏蔽135端口，A主机无法发送攻击代码至B主机，导致溢出攻击失败。

　　（2）B主机被溢出攻击之后，因文件偏移地址不同，导致溢出不成功。并会将RPC服务停止，文件复制贴粘无法使用，COM属性无法正常使用，XP操作系统攻击之后会造成机器重启。重新启动操作系统会恢复正常，但极易再次受到溢出攻击。

　　解决对策：

　　针对解决对策强烈建议你安装微软MS-0326操作系统补丁，因MSBlast蠕虫病毒是利用微软这个操作系统缺陷进行攻击。

　　WindowsMe98