华为65xx/55xx 交换机防毒 acl

　　补丁下载
http://www.microsoft.com/technet/tre...rity/bulletin/ MS03-026.asp
CCERT: http://www.edu.cn 　Windows 2000补丁 　　Windows XP 补丁
http://www.ccert.edu.cn
CNCERT: http://www.cert.org.cn/upload
蠕虫感染途径
　　1. 蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建。
　　2. 在注册表
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值：windows auto update"="msblast.exe" 以保证每次用户登录的时候蠕虫都会自动运行。
　　3. 蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。

　　4. 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。
　　5. 向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机（UDP/69端口），将msblast.exe传到目标系统上，然后运行它。

　　蠕虫检测到当前系统月份是8月之后或者日期是15日之后，也就是说，在1月至8月的16日至此月最后一天，以及九月至十二月的任意一天，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003，但是可以造成Windows 2003系统的RPC服务崩溃，默认情况下，这将使系统重启。
　　蠕虫代码中还包含以下文本数据：
　　I just want to say LOVE YOU SAN!!
　　billy gates why do you make this possible ? Stop making money and fix your software!! （比尔·盖茨，你为什么要使这种攻击成为可能？不要再只顾挣钱了，好好修补你发行的软件吧。）
　参考信息
　　1、 http://www.securityfocus.com/news/6689
　　2、 http://www.cert.org/tech_tips/w32_blaster.html
3、 http://www.cert.org.cn

1.1.3 W32.Nachi.Worm 蠕虫
　　蠕虫名称
　　MSBlast.D （趋势科技）
　　LovSAN.D （F-Secure ）
　　W32/Nachi.Worm （NAI）
　　W32.Welchia.Worm (Symantec)
　　CVE参考 : CAN-2003-0109, CAN-2003-0352

　　影响系统
　　Windows 2000, Windows XP / Windows 2003
　　简单描述
　　W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(漏洞信息参见http://www.ccert.edu.cn/ advisor ies/all.php?ROWID=48) 和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞（漏洞信息参见http://www.ccert. edu.cn/advisories/all.php?ROWID=28）进行传播。如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。Nachi蠕虫感染机器后，会产生大量长度为92字节的ICMP报文，从而严重影响网络性能。(ICMP流量增长趋势参见附图)。
这些ICMP数据包的特征如下（其中xxx为隐去的IP地址）：
　　xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
　　4500 005c 1a8d 0000 7801 85be xxxx xxxx
　　xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
　　aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
　　aaaa aaaa aaaa
计算机感染特征
　　1、被感染机器中存在如下文件：
　　%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
　　%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
　2、注册表中增加如下子项：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcTftpd
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcPatch
　　3、增加两项伪装系统服务：
　　Network Connection Sharing
　　WINS Client
　　4、监听TFTP端口(69)，以及一个随机端口（常见为707）；
　　5、发送大量载荷为“aa”，填充长度92字节的icmp报文，大量icmp报文导致网络不可用。
　　6、大量对135端口的扫描；
　　蠕虫的详细信息
　　在被感染的机器上蠕虫会做以下操作：
　　1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe （%system%根据系统不同而不同，win2000为c:\winnt\system32,winxp为c:\windows\system32)
　　2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe
　3、创建RpcTftpd服务，该服务取名Network Connections Sharing，并拷贝Distributed Transaction Coordinator服务的描述信息给自身。
　　服务的中文描述信息为：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器
　　创建RpcPatch服务，该服务取名WINS Client，并拷贝Computer Browser服务的描述信息给自身。服务的中文描述信息为：维护网络上计算机的最新列 表以及提供这个列表给请求的程序。
　　4、判断内存中是否有msblaster蠕虫的进程，如果有就杀掉，判断system32目录下有没有msblast.exe 文件，如果有就删除。
　　5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段，检测这些地址段中存活的主机。
　　6、一旦发现存活的主机，便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。 溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况看，通常都是707端口。
　　7、建立连接后发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，就将tfptd拷贝到%system%\wins\svhost.exe，如果没有，就利用自己建立的tftp服务将文件传过后再拷贝。
　　8、检测自身的操作系统版本号及server pack的版本号，然后到微软站点下载相应的ms03-26补丁并安装。如果补丁安装完成就重新启动系统。
　　9、监测当前的系统日期，如果是2004年，就将自身清除。
网络控制方法
　　如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞下面的协议端口:

　　UDP Port 69, 用于文件下载
　　TCP Port 135, 微软：DCOM RPC
　　ICMP echo request(type 8) 蠕虫用于发现活动主机

　　如果您使用基于网络的入侵检测系统（比如Snort），snort兼容的系统可使用如下检测规则：
　　alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:http://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;)

　　手动清除方法
　　如果您的计算机感染了Nachi蠕虫，可以用如下方法清除：
　　1、停止如下两项服务（开始->程序->管理工具->服务）：
　　WINS Client
　　Network Connections Sharing
　　2、检查、并删除文件:
　　%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
　　%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
　　3. 进入注册表（“开始->运行：regedit），删除如下键值：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcTftpd
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcPatch
　　4. 给系统打补丁（否则很快被再次感染）,贴几个常用的防病毒的端口号。UDP6667前几天刚碰到过一次，定时发作，六量很大！

acl number 100
rule 0 deny tcp destination-port eq 135
rule 1 deny tcp destination-port eq 139
rule 2 deny tcp destination-port eq 3127
rule 3 deny icmp
rule 5 deny udp destination-port eq 1433
rule 6 deny udp destination-port eq 1434
rule 7 deny tcp destination-port eq 445
rule 8 deny tcp destination-port eq 5800
rule 9 deny tcp destination-port eq 5900

rule 11 deny udp destination-port eq 66676667端口能够被以下的病毒利用进行DoS攻击！
Backdoor-QZ DDoS-Apbot@MM
DDoS/Slack W32/Cblade.worm.gen
BackDoor-UK IRC-Speed
Irc-Smallfeg DDoS-Kaiten
IRC/Flood.o IRC-Sdbot
IRC-Smev BackDoor-OG
W32/Kwbot.worm Unix/Backdoor-ADM
IRC/Flood.c.dr W32/Lolol.c.worm
W32/Etern.worm IRC/Backdoor.e
IRC-OhShootBot IRC/Flood.mirc
IRC/Backdoor.g DDoS-SQLhuc
Backdoor-AOW IRC-Demfire
IRC-Yoink W32/Randon.worm
IRC-Pitchfork IRC/Flood.bq
BackDoor-ASE DDoS-Stinkbot
W32/Fizzer@MM IRC-Rewt
BackDoor-AUI IRC/Flood.cm
W32/Sdbot.worm IRC-Sahgra
W32/Warpi.worm.b BackDoor-AQH
BAT/Mumu.worm.c IRC/Fyle
W32/Spybot.worm.lz W32/Randon.worm.p
BackDoor-AZV W32/Gaobot.worm.ak
W32/Duster IRC/Flood.dz
W32/Tzet.worm.f W32/Vesser.worm.b
W32/Protoride.worm W32/Spybot.worm.lk
神州数码DCRS-7504上面做的 供参考

ip access-list extended Virus
deny tcp any any eq loc-srv
deny tcp any any eq profile
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq netbios-ssn
deny tcp any any eq 4444
deny tcp any any eq microsoft-ds
deny tcp any any eq http-rpc-epmap
deny udp any any eq loc-srv
deny udp any any eq profile
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq netbios-ssn
deny udp any any eq microsoft-ds
deny udp any any eq http-rpc-epmap
deny udp any any eq tftp
permit ip any any