发现日期:2003 年 8 月 11 日
更新: 2007 年 2 月 13 日 12:09:34 PM
别称: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
类型: 蠕虫
感染长度: 6,176 bytes
受影响的系统: Windows 2000, Windows NT, Windows Server 2003, Windows XP
根据 Symantec's DeepSight Threat Management 的报告和客户所提报的件数,赛门铁克安全响应已经将此威胁由等级 3 提升至等级 4。
W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 更多有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。
建议用户通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
- TCP Port 135, "DCOM RPC"
- UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
更多关于此漏洞的信息,以及哪个赛门铁克产品能纾解此漏洞造成的风险,请单击这里。
注意: 这个威胁可被以下病毒定义文件侦测:
- 定义版本:50811s
- 顺序编号:24254
- 扩展版本:8/11/2003, rev. 19
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。
W32.Blaster.Worm Webcast
下列 Webcast 已经公布,其中讨论了缓解和补救策略,并提供了 DoS 攻击的详细描述:
http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63病毒定义更新信息
-
首次快速发布版本 2003 年 8 月 11 日
-
最新快速发布版本 2009 年 4 月 10 日修订版 001
-
首次每日认证版本 2003 年 8 月 11 日
-
最新每日认证版本 2009 年 4 月 15 日修订版 048
-
2003 年 8 月 11 日
有关快速发布版本和每日认证病毒定义的详细说明,请单击。
威胁评估
分布:
-
分布广度:较低
-
受感染数: More than 1000
-
感染站点:More than 10
-
地理分布范围:较高
-
威胁防止:中等
-
删除: 中等
破坏力
-
破坏力:中度
-
导致系统不稳定: 可能导致系统崩溃。
-
危及安全设置: 开启一个远端控制的命令解释程序。
散播
-
散播级别: 中度
-
端口: TCP 135, TCP 4444, UDP 69
-
感染目标: 运行 DCOM RPC 服务的计算机。
本文作者:Douglas Knowles, Frederic Perr
Technorati
Facebook
Google
Digg
Delicious
Reddit
StumbleUpon
Yahoo
Faves
Newsvine
