最近一段时间,为了避免下载微软的黑屏补丁,许多网友关闭了Windows系统自动更新,从而造成黑客们利用系统漏洞作恶的机会。对于目前网络病毒泛滥的情况,艾泰科技工程师特编写此方案,介绍在路由器上如何设置安全策略来预防“扫荡波”及其他网络病毒,帮助网友建设井然有序的网络。
关注“扫荡波”
近期,360安全中心发现,网上忽然冒出来“狼牙全自动抓鸡器”等多款恶意工具,并在迅速流传之中。据了解,这是黑客利用微软最新RPC漏洞MS08-067实施的“扫荡波”蠕虫攻击,如用户尚未给系统打好KB958644补丁,一旦被黑客扫描发现,瞬间便受到蠕虫病毒侵袭,成为被黑客远程控制的帮凶,主动去攻击其他用户的电脑。也就是说,局域网中一旦有一台电脑中招,全网没有修复漏洞的电脑就都会感染病毒,其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。
中毒症状:
扫荡波对内网主机的整个攻击过程中,只有当扫荡波攻击失败时,被攻击主机出现的提示是用户可见的。扫荡波如果对局域网内电脑的攻击失败,这些电脑上则会出现“svchost.exe”出错的提示,说“svchost.exe中发生未处理的win32异常”,同时网络连接中断。用户要是发现自己的电脑中出现此情况,就说明您电脑所处的局域网内有机器中毒。此时,如果您的电脑并没有中毒,但千万不可以有侥幸心理,应该立即打上MS08-067补丁,因为该毒的攻击不会仅仅一次,而且随着病毒作者对其进行升级,扫荡波会拥有更强的攻击力。
攻击原理:
1、 释放病毒体:
病毒运行后释放以下文件:aaa.bat、mrosconfig.exe、vista.exe、qqq.sys,其中aaa.bat控制整个病毒的运行流程。
2、 扫描网内计算机:
首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后,挑选出可以连上445端口的计算机保存到一个列表文件中。
3、 攻击在线的计算机(有漏洞的会出现现象或中毒):
然后,病毒调用mrosconfig.exe对列表文件中的计算机发送RPC请求,使远程计算机中的svchost.exe中解析RPC路径时溢出,在远程计算机中下载并执行http://xxx.xxx.com/down/ko.exe。
具体的步骤如下:
1) 使用空用户、空密码连接上远程计算机上的IPC$共享。
2) 向连上的计算机发送远程路径".\\a\..\..\NN"。如果远程计算机上未修复ms08-067漏洞,那么svchost.exe调用NetpwPathCanonicalize函数解析此路径时会溢出,从而执行远程路径后的指令。
3) 溢出指令下载附在指令后的url对应的文件到远程计算机上,并运行此文件。下载的文件是一个木马下载者,该下载者还会下载其他的木马程序安装到被攻击的计算机上。已知会下载的木马程序包括:机器狗木马下载器、QQ三国、完美系列网游等游戏盗号器。
如果攻击失败,则远程计算机会出现‘SVCHOST.exe’出错的提示。如果用户反映这个问题,则可以认为其所在的局域网内有机器中毒,但还未波及自身电脑,打上补丁就可以避免。
解决方案:
可以参照文章下述“其他病毒防御处理”方法,过滤掉病毒的下载文件,可以有效进行防御。
如果打补丁过程中出现问题或还出现崩溃现象则可以使用手工解决方案:禁用IPC$空连接,避免病毒连接到用户系统上。
方法如下:运行regedit,找到如下子键 |HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
把RestrictAnonymous键值改为REG_DWORD:00000001
“扫荡波”病毒官方补丁艾泰科技下载链接:
http://www.utt.com.cn/articlescontent.php?id=545
其他病毒防御处理
鉴于目前网络上流行的病毒一般都是通过HTTP方式下载一些病毒文件来进行传播,因此我们可以通过在路由器上做策略过滤掉一些危险的文件下载来进行内网病毒预防。
通过观察,大部分病毒文件的后缀名一般都为以下几种:
.exe
.bat
.sys
.dll
.cmd
.msi
.vbs
……….
针对此类下载,我们只需要在路由器上配置URL过滤,禁止相关内容即可。
配置方法:
假如内网网段为172.16.16.0/24,以ReOS 2008为例,可以在路由器上照以下步骤配置策略:
1、 WEBUI--防火墙--地址组,将内网所有主机建立在一个组内;
2、 WEBUI--防火墙--服务组,新建URL服务,URL地址包含“.exe”、“.bat”、“.sys”等。
3、 WEBUI--防火墙--访问控制策略,添加策略,将“bingdu”这个服务组禁止;
4、 WEBUI--防火墙--访问控制策略,启用访问控制策略;
5、 配置完成,访问控制信息列表显示:
若还发现有其他后缀名形式的病毒文件,只需要在服务组中添加相关的URL内容过滤即可。