数码鹭岛论坛

标题: 【资料分享】电脑中＂冲击波＂（流言）病毒的人到这里下载补丁 [打印本页]

作者: 上帝 时间: 2003-8-16 21:35
标题: 【资料分享】电脑中＂冲击波＂（流言）病毒的人到这里下载补丁
Windows NT 4.0 server
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F
支持的操作系统： Windows NT
Windows NT 4.0 Server
Windows NT4.0 Server, Enterprise Edition　

Windows 2000
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
支持的操作系统： Windows 2000
Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server　

　

Windows XP　
中文
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

英文
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
支持的操作系统： Windows XP
Windows XP Professional
Windows XP Home Edition　

Windows Server 2003
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E
支持的操作系统： Windows Server 2003

可能有时候会打不开网址。
不过大家多试几次。
毕竟是为了电脑系统的安全

关于RPC接口引起的系统自动关机问题-{重要漏洞提示}

微软公司发布关于RPC 接口中　

远程任意可执行代码漏洞（823980）通告　

国家计算机病毒应急处理中心根据微软公司发布的通告，即关于RPC 接口中远程任意可执行代码漏洞（823980），向计算机用户发出预警。如果成功利用此漏洞，攻击者就有可能获得对远程计算机的完全控制，并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。
Microsoft RPC接口远程任意代码可执行漏洞受影响的软件：　

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP Microsoft Windows Server 2003 　

漏洞描述　

RPC（Remote Procedure Call）是 Windows 操作系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF（开放式软件基础）RPC 协议，但增加了一些 Microsoft 特定的扩展。　

RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响DCOM （分布式组件对象模型）与 RPC 间的一个接口，该接口侦听TCP/IP 端口135，用于处理由客户端机器发送给服务器的DCOM对象激活请求（如UNC路径）。　

该漏洞实际上是一个缓冲区溢出漏洞，成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制，可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。　

在利用该漏洞时，攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目标计算机受制于人，攻击者可以在它上面执行任意代码。　

不同于以往发现的安全漏洞，该漏洞不仅影响作为服务器的Windows系统，同样也会影响个人电脑，所以潜在的受害者数量非常多。　

DCOM （分布式对象模型）
分布式对象模型（DCOM））是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”，它能够跨越包括 Internet 协议（例如 HTTP）在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息：http://www.microsoft.com/com/tech/dcom.asp 　

RPC（远程过程调用）
远程过程调用（RPC）是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况，因此 RPC 提高了程序的互操作性。在 RPC 中，发出请求的程序是客户程序，而提供服务的程序是服务器。　

防范措施：
下载安装相应的补丁程序：　

Microsoft已经为此发布了一个安全公告（MS03-026）以及相应补丁，请尽快下载安装。
http://www.microsoft.com/technet/security/bulletin/
MS03-026.asp
您也可以到我们的网站上下载相关的安全补丁：
winnt
win2000
winxp
win2003 　

在防火墙上封堵不必要的端口
135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口，用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用DCOM函数的服务端口，建议用户使用网络或是个人防火墙过滤以下端口：
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap 　

有关为客户端和服务器保护 RPC 的详细信息，请访问：
http://msdn.microsoft.com/library/default.asp?url=
/library/en-us/rpc/rpc/
writing_a_secure_rpc_client_or_server.asp
有关 RPC 使用的端口的详细信息，请访问：
http://www.microsoft.com/technet/prodtechnol/
windows2000serv/reskit/tcpip/part4/tcpappc.asp 　

手动为计算机启用（或禁用） DCOM：　

运行 Dcomcnfg.exe。
如果您在运行 Windows XP 或 Windows Server 2003，则还要执行下面这些步骤：
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。
对于远程计算机，请以右键单击“计算机”文件夹，然后选择“新建”，再选择“计算机”。
输入计算机名称。以右键单击该计算机名称，然后选择“属性”。
选择“默认属性”选项卡。
选择（或清除）“在这台计算机上启用分布式 COM”复选框。　

如果您要为该计算机设置更多属性，请单击“应用”按钮以启用（或禁用） DCOM。否则，请单击“确定”以应用更改并退出
Dcomcnfg.exe。　

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网址：Http://www.antivirus-China.org.cn
电话：022-66211488/66211489/66211490
传真：022-66211487
电子邮件：security@tj.cnuninet.net　

转自http://www.ccert.edu.cn/announce/show.php?handle=91
CCERT 关于window RPC系列漏洞的安全公告
[$nbsp][$nbsp]　

7月16日波兰的一个安全组织LSD公布了一个Windows操作系统的一个安全漏洞，这个漏洞号称
迄今为止window系统中发现的最严重的一个系统漏洞
（漏洞的详情参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48）
随后各安全组织对该漏洞展开了相关的研究，在研究的过程中国内的安全组织又发现了与之相
关的两个同类型的漏洞，并上报了微软，但是目前厂商还没有提供相关的补丁程序。因此到目
前为止针对window rpc系列实际上存在三个类似的漏洞，它们分别是：　

1、Microsoft RPC接口远程任意代码可执行漏洞
[$nbsp][$nbsp][$nbsp]
[$nbsp][$nbsp][$nbsp]漏洞描述：
[$nbsp][$nbsp][$nbsp]Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供
[$nbsp][$nbsp][$nbsp]一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行代码。
[$nbsp][$nbsp][$nbsp]该协议的前身是OSF RPC协议，但是增加了微软自己的一些扩展。　

[$nbsp][$nbsp][$nbsp]最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
[$nbsp][$nbsp][$nbsp]安全漏洞。该漏洞影响使用RPC的DCOM接口，这个接口用来处理由客户端机器发送给服务器
[$nbsp][$nbsp][$nbsp]的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限，他
[$nbsp][$nbsp][$nbsp]将可以在系统上运行任意命令，如安装程序、查看或更改、删除数据或者是建立系统管理员
[$nbsp][$nbsp][$nbsp]权限的帐户等。　

[$nbsp][$nbsp][$nbsp]要利用这个漏洞，攻击者需要发送特殊形式的请求到远程机器上的135端口.　

2、Microsoft DCOM RPC接口拒绝服务及权限提升漏洞
[$nbsp][$nbsp][$nbsp]漏洞描述：
[$nbsp][$nbsp][$nbsp]Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供
[$nbsp][$nbsp][$nbsp]一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行代码。
[$nbsp][$nbsp][$nbsp]该协议的前身是OSF RPC协议，但是增加了微软自己的一些扩展。　

[$nbsp][$nbsp][$nbsp]最近发现MS RPC在处理畸形消息时存在问题，远程攻击者可以利用这个漏洞进行拒绝服务攻
[$nbsp][$nbsp][$nbsp]击，在RPC服务崩溃后，可用来权限提升攻击。攻击者发送畸形消息给
[$nbsp][$nbsp][$nbsp]DCOM __RemoteGetClassObject接口，RCP服务就会崩溃，所有依靠RPC服务的应用程序和服务
[$nbsp][$nbsp][$nbsp]就会变的不正常。

[$nbsp][$nbsp][$nbsp]如果攻击者拥有合法帐户，在RPC服务崩溃后他还可以劫持管道和135端口进行权限提升攻击。　

3、window RPC接口未知漏洞
[$nbsp][$nbsp][$nbsp]漏洞描述：
[$nbsp][$nbsp][$nbsp]由于该漏洞影响面太大而厂商又未推出相应的补丁程序，因此目前并未公布该漏洞的详细技术
[$nbsp][$nbsp][$nbsp]细节，但是发现该漏洞的组织中联绿盟信息技术(北京)有限公司在报告中有提到如下警告：
[$nbsp][$nbsp][$nbsp]该漏洞可以使入侵者轻而易举的进入Windows 2000、Windows XP、Windows2003 Server系统。
[$nbsp][$nbsp][$nbsp]攻击者可以通过该漏洞取得系统的控制权，完全控制被入侵的系统，窃取文件，破坏资料。
[$nbsp][$nbsp][$nbsp]因为该漏洞和以往发现的安全漏洞不同，不仅影响作为服务器的Windows系统，同样也会影响个
[$nbsp][$nbsp][$nbsp]人电脑，所以潜在的受害者数量非常多。　

漏洞危害：
[$nbsp][$nbsp][$nbsp]7月23号网络上发布了DCOM RPC接口拒绝服务攻击的程序代码，7月26日window RPC接口远程缓
[$nbsp][$nbsp][$nbsp]冲溢出的攻击程序代码被公布，这样就导致即便是一个对该漏洞技术细节毫不了解的人也能使
[$nbsp][$nbsp][$nbsp]用这些代码去攻击网络上的其他机器以达到拒绝服务攻击的目的或是获得相应的系统权限。目
[$nbsp][$nbsp][$nbsp]前公布的代码是对系统版本有针对性的，但是通用于各系统版本中的攻击代码正在测试中，相
[$nbsp][$nbsp][$nbsp]信在稍后的几天内便会被公布出来，一旦这种攻击代码被公布出来，只需要很小的技术上的改
[$nbsp][$nbsp][$nbsp]造就可以改编成蠕虫，如果利用这个漏洞蠕虫被发布出来，它的威力将远远超过codered和
[$nbsp][$nbsp][$nbsp]slammer，可能会给整个互联网络带来致命的打击。　

解决办法：
[$nbsp][$nbsp][$nbsp]针对以上漏洞，CCERT建议用户对您的机器采取以下措施：
1、下载安装相应的补丁程序：
[$nbsp][$nbsp][$nbsp]针对第一个漏洞微软已经发布了相应的安全公告与补丁程序，你可以到我们的网站下载：
[$nbsp][$nbsp][$nbsp]winnt http://www.ccert.edu.cn/pub/patch/MS/NT4_Cn/CHSQ823980i.EXE
[$nbsp][$nbsp][$nbsp]win2000 http://www.ccert.edu.cn/pub/patc ... B823980-x86-CHS.exe
[$nbsp][$nbsp][$nbsp]winxp http://www.ccert.edu.cn/pub/patc ... B823980-x86-CHS.exe
[$nbsp][$nbsp][$nbsp]win2003 http://www.ccert.edu.cn/pub/patc ... B823980-x86-CHS.exe
[$nbsp][$nbsp][$nbsp]
[$nbsp][$nbsp][$nbsp]针对其他两个漏洞，微软目前还没有发布相应的补丁程序，我们建议您使用window自动update
[$nbsp][$nbsp][$nbsp]功能，随时关注厂商的动态，你也可以关注我们的主页http://www.ccert.edu.cn
[$nbsp][$nbsp][$nbsp]我们会在第一时间提供相应的补丁程序下载　

2、使用防火墙关闭所有不必要的端口，根据我们现在掌握的信息，这些漏洞不仅仅影响135端口，
[$nbsp][$nbsp][$nbsp][$nbsp]它影响到大部分调用DCOM函数的服务端口，因此CCERT建议用户使用网络或是个人防火墙过滤以
[$nbsp][$nbsp][$nbsp][$nbsp]下端口：
[$nbsp][$nbsp][$nbsp][$nbsp]135/TCP    epmap
[$nbsp][$nbsp][$nbsp][$nbsp]135/UDP    epmap
[$nbsp][$nbsp][$nbsp][$nbsp]139/TCP    netbios-ssn
[$nbsp][$nbsp][$nbsp][$nbsp]139/UDP    netbios-ssn
[$nbsp][$nbsp][$nbsp][$nbsp]445/TCP    microsoft-ds
[$nbsp][$nbsp][$nbsp][$nbsp]445/UDP    microsoft-ds
[$nbsp][$nbsp][$nbsp][$nbsp]593/TCP    http-rpc-epmap
[$nbsp][$nbsp][$nbsp][$nbsp]593/UDP    http-rpc-epmap 　

3、使用IDS系统检测来自于网络上的攻击，IDS规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance:56;
within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5; within:12;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1;
byte_test:1,[$,1,0,relative] content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352;classtype:
attempted-admin; sid:2193; rev:1;) 　

alert tcp $EXTERNAL_NET any -> $HOME_NET 135
(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1; byte_test:
1,[$,1,0,relative] content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-admin;
sid:2192; rev:1;)　

注意：
[$nbsp][$nbsp][$nbsp]1、针对第一个漏洞的补丁并没有包括在window 2000 sp4中，你需要下载单独的热修补补丁。
[$nbsp][$nbsp][$nbsp]2、由于rpc服务已经被镶嵌到window的内核当中，因此我们不建议您使用关闭rpc服务的方
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]法来防止该漏洞被利用，因为关闭rpc服务可能会导致您的系统出现许多未知的错误
[$nbsp][$nbsp][$nbsp]3、当您的系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然被关闭，很
[$nbsp][$nbsp][$nbsp][$nbsp][$nbsp][$nbsp]可能表示你已经受到了这类攻击，请尽快采取相应的措施。

作者: wubo1110 时间: 2005-5-10 12:15
我已经下载拉~
但是怎么一直都没发现这个什么冲击波病毒诺~
还不来我就把它删掉拉~冲击波冲击波冲击波冲击波冲击波冲击波

欢迎光临数码鹭岛论坛 (http://www.clore.net/forum/)