五一节期间慎防利用微软PCT漏洞的蠕虫出现

　　自微软公司4月13日公布多个严重的安全漏洞以来，许多安全机构和黑客组织对这些漏洞进行了跟进研究，使这些漏洞的技术细节逐步被披露出来，从这些漏洞可能会造成的危害来看都是极其严重的。今天，启明星辰信息技术有限公司收到来自国家计算机网络应急技术处理协调中心(CNCERT/CC)发布的信息，"利用微软PCT漏洞的蠕虫预警"一文详细的描述了可能诞生的蠕虫病毒的危害以及详细防治办法，现将全文进行转发。

　　如今正值五一假期临近，启明星辰公司积极防御实验室提醒互联网用户注意，假日期间慎防利用微软PCT漏洞的蠕虫病毒出现，需提早安装补丁程序，并尽快采取相应防护措施。

　　附：公告原文

　　利用微软PCT漏洞的蠕虫预警

　　安全公告CN-SA04-20A
　　发布日期：2004-4-29
　　安全等级：三级
　　公开程度：公共
　　来源：CNCERT/CC   2004-04-29

　　自微软PCT漏洞信息公布之后，CNCERT/CC一直密切关注该漏洞的潜在影响以及事态发展。近期，我们注意到互联网上已经出现针对该漏洞编写的攻击性代码，并立即进行了综合分析，我们预测近期可能会有利用该漏洞的蠕虫在互联网上出现。

　　微软证书服务中使用的PCT协议是Microsoft SSL库的实现，该协议在处理客户端的SSL服务请求的时候存在一个远程缓冲区溢出漏洞。经分析测试发现，目前网上公开的针对该漏洞的攻击性代码具有较高的溢出成功率，极有可能被别有用心者引用制作成新的网络蠕虫。虽然目前尚不足以判定该蠕虫会对网络构成重大影响，但由于使用SSL协议的业务往往具有很高的安全性要求，并且蠕虫在扩散过程中一般会发出大量探测包，从而可能给用户数据和互联网运行带来较大的威胁。因此，CNCERT/CC再次提醒互联网用户立即采取安全措施，加强防范。

　　CNCERT/CC也将继续密切关注该事件的发展，及时发布相关信息。

　　分析预测：

　　1. 如果该蠕虫开始传播，网络出入口会有大量的目标端口为443的数据包。
　　2. 如果感染该蠕虫，主机会有大量目标端口为443的数据包发出。
　　3. 由于SSL服务并非常用服务，如果蠕虫只依赖本服务传播，我们预测该蠕虫可能会使用大量线程进行网络扫描，将会影响到感染节点所在网络的出口设备和出口流量。
　　4. 其他扫描性蠕虫可能会扩展相应模块以使用该漏洞。
　　5. 不排除有经济目的的蠕虫与攻击产生。
　　6. 不排除该蠕虫可能会在感染主机上留下其他后门。
　　7. 发往443端口的数据包可能包含如下内容：
　　EB 25 E9 FA 99 D3 77 F6-02 06 6C 59 6C 59 F8 1D
　　9C DE 8C D1 4C 70 D4 03-58 46 57 53 32 5F 33 32
　　2E 44 4C 4C 01 EB 05 E8-F9 FF FF FF 5D 83 ED 2C
　　6A 30 59 64 8B 01 8B 40-0C 8B 70 1C AD 8B 78 08

　　受影响的平台：
　　Microsoft Windows NT 4.0 SP6a;
　　Microsoft Windows 2000 SP2/SP3/SP4;
　　Microsoft Windows XP SP1;
　　Microsoft Windows Server 2003;
　　Microsoft NetMeeting;
　　Microsoft Windows 98;
　　Microsoft Windows ME.

　　解决方案：
　　1. 如主机无需对外提供SSL服务，建议暂时关闭PCT协议，具体步骤如下：
　　1) 运行"regedt32"。
　　2) 在注册表中搜索如下键值：
　　3) HKey_Local_Machine\System\CurrentControlSet\
　　Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server
　　4) 在编辑菜单中，在Server子值中建立新的REG_BINARY，命名为"Enabled"。
　　5) 在数据类型列表中，点击REG_BINARY。
　　6) 在值名文本框中，输入 "Enabled"，然后确定。
　　7) 输入00000000字符串设置新值为0。
　　8) 确定后重新启动系统。
　　9) 如果要恢复PCT，就更改"Enabled"值为1。
　　2. 如果要对内部网络提供SSL服务，建议在入口防火墙阻断目标端口为443、636的数据包。
　　3. 所有Microsoft Windows NT架构Server用户，必须安装以下补丁。

　　补丁下载：
　　Winnt Workstation:
　　http://download.microsoft.com/download/8/8/3/8839e8d0-c431-463e-b182-920bc0605733/WindowsNT4Workstation-KB835732-x86-CHS.EXE
　　Winnt Server:
　　http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23afd3/WindowsNT4Server-KB835732-x86-CHS.EXE
　　Windows 2000:
　　http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7fb2/Windows2000-KB835732-x86-CHS.EXE
　　Windows XP:
　　http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE
　　Windows 2003:
　　http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af190fa/WindowsServer2003-KB835732-x86-CHS.EXE

　　参考信息：
　　http://www.cert.org.cn/articles/bulletin/common/2004041421585.shtml
　　http://www.microsoft.com/china/technet/security/bulletin/MS04-011.mspx