网络中心关于Dvldr32蠕虫防范的公告

发布者:系统管理员发布时间:2003-03-20浏览次数:8726


200337日以来,一种破坏力很强的蠕虫(暂且以攻击程序的名字命名为Dvldr32蠕虫)在网络上大面积传播,控制了大量口令设置不安全的Windows系统,对网络造成了很大破坏。 目前主要的网络运行商已经在网络上对其传播途径进行了控制,但是,被感染的系统、可能被感染的系统仍然大量存在,有必要引起进一步的关注。

1、易受感染的系统

Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.

2、蠕虫利用系统漏洞

弱口令,比较典型的是管理员(administrator)口令为空

3、主要危害

计算机感染Dvldr32蠕虫后,定期的随机选择两个C类地址进行扫描(TCP 445端口),如果目标机器上存在弱口令账号(如:administrator账号密码为空),蠕虫便会利用该账号将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门(TCP 5800,TCP 5900),并通过互联网聊天协议(IRCTCP 目标端口6667)与境外的服务器进行通信。

该蠕虫的扫描和传播可能造成网络严重拥塞,主要表现为大量 TCP 445端口的扫描、TCP 6667端口的通信。另外,网络流量监测结果表明IP协议字段为 255( IP 头标的第9个字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。

由于本校大部分部门使用的计算机均装有Windows 2000操作系统,并在正确配置真实的IP地址后上网。但在此之中有人并不真正了解Windows 2000的安全管理机制。在此,网络中心提醒各位注意:

一、要求

1、安装好系统后请为高级管理员(Administrator)设置口令。

2、如果有自己建立的用户账户也请设置口令。

3、不要起用来宾账户(Guest),如一定要使用者也请设置口令。

4、安装有SQL Server用户者,请为其高级管理员(sa)设置口令。

5、请不要设置弱口令(弱口令并无详细规范定义,大致可以理解为容易被猜测出来的口令,如:小于4字符、简单数字或日期),因为有很多软件可以用极短的时间破译,而且不需要破译者拥有很高的学术或技巧。

二、危害

对于Windows 2000操作系统来说,一旦有不轨者知道了你的高级管理员(Administrator)口令,也就意味着他对你的计算机拥有了一切控制权,而且他不需要直接靠近你的计算机,只需通过网络连接就可以完全控制(如:察看、修改、增加或删除文件(包括文档和邮件),格式化硬盘,控制开、关机等一切你所能进行的操作)。

三、网络中心测试报告

经过测试,现已发现有很多计算机存在此漏洞,处于安全考虑,在此不一一列出其IP地址,请各部门人员自行检查核实,此后网络中心将定期测试,发现问题将通知到个人。

如有发现入侵迹象,请保持现场并立即通知网络中心。

你可以请求技术支持,选择在我校主页左边有“技术支持”栏目中的“安全监测系统”。注:请不要通过代理使用。