赛门铁克发现“冲击波”病毒又出现新变种

2003-08-16 11:37　转自：搜狐IT

页面功能【我来说两句】【我要“揪”错】【推荐】【字体：大中小】【打印】【关闭】

　　全球领先的互联网安全技术与解决方案供应商赛门铁克公司（纳斯达克：SYMC）今天宣布，俗称“冲击波”或“爆破工”的W32.Blaster.Worm新感染数已经过一个高峰期。根据Symantec DeepSight威胁管理系统的监控状况，从8月12日至8月13日，被感染系统数量已经下降了30－40％。

　　赛门铁克安全响应中心资深总监Alfred Huger说：“W32.Blaster.Worm通过Microsoft Windows DCOM RPC接口缓存溢出漏洞进行传播，它虽然在全世界扩散的速度比红色代码（CodeRed）、尼姆达（Nimda）或Slammer慢，但是，与以前的蠕虫病毒相比，W32.Blaster.Worm的感染潜力要大得多，因为受MS RPC缓存溢出漏洞影响的计算机数量庞大。”

　　从188000台受感染的主机看，目前受感染最严重的五个国家是美国（48％）、英国（15％）、加拿大（5％）、澳大利亚（3％）和爱尔兰（2％）。

　　虽然新感染数量呈下降趋势，但是又出现了两个变种。W32.Blaster.worm的这两个变种是W32.Blaster.B.worm和W32.Blaster.C.worm。其区别仅仅在于它将可执行文件分别改名为Penis.exe和Teekids.exe。赛门铁克安全响应中心将这些变种定为2级威胁。此外，赛门铁克还发现同样利用了这个漏洞的一种新特洛伊木马病毒W32.Randex.E。该特洛伊木马病毒允许其创建者用Internet Relay Chat (IRC) 控制计算机，它也被定为2级威胁。

　　Symantec DeepSight威胁管理系统是赛门铁克预警解决方案的一个组成部分，可以对安全威胁进行跟踪，并能提供快速分析对策，在全球范围内防范恶意威胁。该解决方案是世界上最大的数据网络，它从180多个国家的2万多个合作伙伴的防火墙和入侵检测系统 (IDS) 收集数据，最全面地反映互联网上发生的一切。

　　赛门铁克安全响应中心建议网络管理员采取以下措施：

　　• 采用“微软安全公告MS03-026”中的所有可用修补程序和可行的缓解策略。修补程序的位置是：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

　　• 在网络边界和所有不受信网段间对以下端口进行过滤：udp/135、udp/137、udp/138、tcp/135、tcp/445和tcp/593。

　　赛门铁克安全响应中心建议家庭用户立即安装最新的微软修补程序，并更新自己的病毒定义，以防范W32.Blaster.Worm。

　　W32.Blaster.Worm删除工具

　　赛门铁克安全响应中心公布了一个W32.Blaster.Worm删除工具。该删除工具所在位置是：http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html。

　　赛门铁克安全解决方案

　　赛门铁克的完全应用检测防火墙可以防范W32.Blaster。默认情况下，蠕虫可以阻挡所有不安全的TCP 135、139和445端口。对于基于Windows的防火墙，赛门铁克独特的初始和运行系统加强技术可以自动帮助防火墙防范这个基于RPC的攻击。为了实现最高水平的安全，第三代完全应用检测技术可以通过智能手段，阻挡HTTP通道上的DCOM通信隧道，从而提供一层额外保护。最常见的普通网络过滤防火墙还无法提供这样的保护。为了保护桌面系统，Symantec Client Security和Norton Internet Security中的防火墙技术可以默认防范该威胁。

　　Symantec ManHunt中的协议异常检测技术可以检测到与利用该微软漏洞有关的活动，并将其认作“Portscan”。用户还可以使用赛门铁克在2003年7月25日发布的攻击特征。它包含“Microsoft DCOM RPC 缓存溢出”特有攻击特征，可以准确识别正在发生的非法利用活动。这些攻击特征用于检测非法利用RPC DCOM缓存溢出的情况，并非W32.MSblaster.Worm专用。使用这些攻击特征，Symantec ManHunt可以检测到攻击／感染新主机的蠕虫。

　　Symantec Enterprise Security Manager (ESM) 已经检测到该蠕虫自2003年7月17日以来一直在加以利用的漏洞（通过LiveUpdate和Web站点下载）。Symantec ESM是一个业界领先的安全策略一致性解决方案，使得企业可以创建定制安全策略，并从一个位置，管理整个异构企业环境中重要应用和服务器的策略一致性。

　　赛门铁克的Symantec AntiVirus企业版等防病毒解决方案与现有的病毒定义配合，可以自动防范W32.Blaster.Worm。

　　W32.Blaster.Worm简介

　　W32.Blaster.Worm是一个用TCP端口135非法利用DCOM RPC 漏洞的蠕虫病毒，它可以下载并执行msblast.exe文件。该蠕虫还可以在Windows Update上执行拒绝服务攻击，企图阻止用户在自己系统上采用针对DCOM RPC漏洞的修补程序。关于该蠕虫的更多信息，或了解如何删除和扫描受感染文件，请访问赛门铁克安全响应中心Web 站点的以下位置：http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html。