近来我们监测到一种以拒绝服务攻击为特征的新蠕虫（暂且以攻击程序的名字命名为timesync蠕虫）

在网络上传播，控制了大量口令设置不安全的Windows系统，对网络造成了一定的影响。

蠕虫信息如下：

1. 易受感染的系统

已发现的包括Microsoft Windows 2000, Windows NT, Windows ME.

2.蠕虫利用系统漏洞

弱口令，比较典型的是管理员（administrator）口令为空

3.主要危害

计算机感染timesync蠕虫后，定期的对网络上地址进行扫描（TCP 139,445端口），

如果目标机器上存在弱口令账号（如：administrator账号口令为空），蠕虫便会利用

该账号将自身远程注入到目标系统中.并尝试发送数据报前往88.88.88.88地址。

该蠕虫的扫描和传播可能造成网络负担加重，主要表现为大量TCP 445,TCP 139端口

的扫描，目的地址为88.88.88.88 的UDP流量增大。

4. 计算机用户的检测手段

如果出现以下特征，可以认为系统已经被感染：

a) 如果你的管理员口令为空或者容易猜测的口令，那么你的计算机系统可能

已经被感染了，或者很容易受到感染；

b)登录计算机系统，执行netstat -an命令，如果出现大量对外445端口,139端

口的tcp连接和前往88.88.88.88的UDP通讯，那么你的系统可能被感染了，如下所示：

C:\>netstat.exe -an

TCP 192.168.0.100:139 212.118.198.83:21031 ESTABLISHED

TCP 192.168.0.100:1239 32.214.190.95:445 SYN_SENT

TCP 192.168.0.100:1571 32.214.190.100:445 SYN_SENT

TCP 192.168.0.100:1574 0.0.0.0:0 LISTENING

......

TCP 192.168.0.100:1574 32.214.190.100:139 SYN_SENT

TCP 192.168.0.100:1669 32.214.190.101:445 SYN_SENT

TCP 192.168.0.100:1670 0.0.0.0:0 LISTENING

TCP 192.168.0.100:1670 32.214.190.101:139 SYN_SENT

TCP 192.168.0.100:1862 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:1863 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:1864 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:1865 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:1866 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:1867 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:1868 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:1869 88.88.88.88:22689 SYN_SENT

TCP 192.168.0.100:2089 32.214.190.102:445 SYN_SENT

TCP 192.168.0.100:2092 0.0.0.0:0 LISTENING

TCP 192.168.0.100:2092 32.214.190.102:139 SYN_SENT

TCP 192.168.0.100:2555 202.198.142.6:445 ESTABLISHED

TCP 192.168.0.100:2669 164.24.209.135:445 SYN_SENT

...

在系统中执行fport(http://www.ccert.edu.cn/pub/safetools/idstools/fport.zip)

可以发现由timesync.exe发起的大量的UDP连接；

916 timesync -> 1074 UDP C:\WINNT\system32\timesync.exe

916 timesync -> 1210 UDP C:\WINNT\system32\timesync.exe

916 timesync -> 1231 UDP C:\WINNT\system32\timesync.exe

916 timesync -> 1276 UDP C:\WINNT\system32\timesync.exe

916 timesync -> 1321 UDP C:\WINNT\system32\timesync.exe

916 timesync -> 1409 UDP C:\WINNT\system32\timesync.exe

.....

916 timesync -> 4945 UDP C:\WINNT\system32\timesync.exe

916 timesync -> 4963 UDP C:\WINNT\system32\timesync.exe

c) 如果系统目录下出现了以下文件

C:\> dir /O:D winnt\system32

C:\winnt\system32 的目录

...

2003-05-07 03:37 724kb timesync.exe

2003-05-97 03:37 134kb reg.exe

注册表, 增加了如下键值：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TimeSync"="C:\\WINNT\\system32\\timesync.exe"

5. 计算机用户的控制手段

为 administrator 设定安全的口令，检查其他所有用户口令的安全性；

终止名为timesync.exe 的进程；

删除 以下文件(%windir%是windows nt/2000的根目录，比如c:\winnt)：

%windir%\system32\timesync.exe

%windir%\system32\reg.exe

清理注册表，删除3(4)中所提到的注册表中的键值

重新启动计算机

为防止类似事件发生，我们向Windows 用户或系统管理员建议以下最基本的安全措施：

(1) 为操作系统安装最新的补丁；

(2) 为所有用户选择安全的、不用易猜测的口令；

(3) 安装防病毒软件，并及时更新病毒定义码（最好每天一次）。

6. 网络管理员的检测手段

如果你管理的网络出现了以下现象，那么网络中可能有计算

机系统受感染了

(1) 网络性能下降；

(2) 用流量分析工具（比如Unix平台的tcpdump 、Windows 平台的Sniffer pro）,

可以看到从网络内部发起的大量目标向88.88.88.88的长度为1024的UDP数据包；

19:01:13.723585 192.168.0.100.4935 > 88.88.88.88.22616: udp 1024 (ttl 122,

id 9381, len 1052)

0x0000 4500 041c 24a5 0000 7a11 0f5e cac6 8d57 E...$...z..^...W

0x0010 5858 5858 1347 5858 0408 210e 3131 3131 XXXX.GXX..!.1111

0x0020 3131 3131 3131 3131 3131 3131 3131 3131 1111111111111111

0x0030 3131 3131 3131 3131 3131 3131 3131 3131 1111111111111111

0x0040 3131 3131 3131 3131 3131 3131 3131 3131 1111111111111111

0x0050 3131 11

7. 网络管理员的控制手段

在边界路由器或防火墙上配置访问控制规则，可以控制蠕虫传播的途径，起到

保护内部网络、控制被感染系统扩散的目的。

例如，可以在cisco 路由器上的增加如下访问控制表（ACL）:

access-list 110 deny tcp any any eq 445

access-list 110 deny tcp any any eq 139

! 关闭对内部网络Windows 弱口令的扫描。

access-list 110 permit ip any any

若有疑问，您可以按以下方式联系我们：

电话： 010-62784301

传真： 010-62785933

EMAIL: report@ccert.edu.cn

地址：清华大学中央主楼210 室

邮编 100084