关于防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B) 。
病毒名称:MyDoom
病毒别名:Shimgapi,Novarg, W32/Mydoom, 诺维格, SCO 炸弹,悲惨命运
病毒变种: MyDoom.A,MyDoom.B
感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
病毒简介:
MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病
毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量
带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127
到3198范围内)。
MyDoom病毒还设定了自2月1日起向www.sco.com和www.microsoft.com网站发起大量连接
请求而造成DDOS攻击,一直持续到3月1日(但DDOS攻击停止后蠕虫留下的后门不会自动消除)。
Mydoom.B还阻止被感染机器访问一些著名反病毒厂商的网站。
个人防范建议:
1. 立即更新您的防病毒软件,如果怀疑您的系统受到感染,立即彻底扫描整个系统;
2. 不要轻易打开下述特征的电子邮件(见附件二和附件三);
3. 在收邮件的客户端软件中加入过滤规则,邮件特征参见附件:
4. 如果您的防病毒软件不能清除MyDoom病毒,您可以使用Symantec 公司提供的MyDoom专杀
工具(见附件一)
校园网防范建议:
1. 请用户不要轻易打开电子邮件附件,特别是后缀名是.vbs, .bat, .exe, .pif
and .scr的附件,这些文件经常用于传播病毒;
2. 用户安装所有的操作系统补丁,经常更新系统;
附件一:Symantec 公司提供的MyDoom 清除工具
附件二:MyDoom.A的特征分析
附件三:MyDoom.B的特征分析
附件四:MyDoom的手工清除步骤
特别推荐方法:
附件一:Symantec 公司提供的MyDoom 专杀工具
本地下载: fxMydoom.exe
下载到本地双击运行即可,详细使用说明参见 Symantec 公司提供的说明
附件二:MyDoom.A的特征分析(源自Symantec 公司, CCERT 编译)
MyDoom.A 感染以后,将执行如下操作:
1.创建下列文件:
%System%\Shimgapi.dll. Shimgapi.dll 会监听从TCP 3127 到 3198 范围内的一个端
口,从这个后门可以下载和执行任意程序;
%Temp%\Message. 这个文件含有随机字符,以Notepad 显示;
%System%\Taskmon.exe.
2.将值:"(Default)" = "%System%\shimgapi.dll"
添加到注册表键:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
将值:"TaskMon" = "%System%\taskmon.exe"
添加到以下注册表键中:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
3.2004年2月1日到2004年2月12日,通过新创建63个会发送GET请求、直接连接到80端口的线
程,尝试对www.sco.com发动拒绝服务攻击.
4.在具有下列扩展名的文件中搜索电子邮件地址,并发送带有
病毒的邮件。
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
注意:它会忽略以 .edu 结尾的地址,但不会忽略以.edu.cn结尾的地址。
5.将自身作为下列文件之一复制到 Kazaa 下载文件夹:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
使用下列之一作为扩展名:
.pif
.scr
.bat
.exe
6.这个病毒还包括一种功能,可以把病毒自身远程安装到被感染MyDoom.A的系统上。实现
步骤如下:
产生2到6个并发进程,随机扫描一个C类的网络的3127端口,如果连接成功,则病毒会发送一个升
命令,并把自身拷贝到远程计算机上。
MyDoom.A发送的邮件具有如下特征:
发件人:可能是经过伪装的发件人地址
主题:可能是下列之一:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文:可能是下列之一:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.
附件:文件名可能是下列之一:
document
readme
doc
text
file
data
test
message
body
注意:
附件可能有两个后缀。其中一个后缀可能下列之一:
.htm
.txt
.doc
蠕虫总是会使用下面后缀中的一个:
.pif
.scr
.exe
.cmd
.bat
.zip(这是一个实际上含有病毒程序的 .zip 文件。该蠕虫程序的名字和这个 .zip
的文件名一致。)
附件三:MyDoom.B的特征分析(源自F-Secure,CNCERT翻译)
--------------------------
该蠕虫运行后首先寻找Mydoom.A,,如果找到则终止Mydoom.A蠕虫体进程的运行并且删
除"shimgapi.dll"文件。
1. 生成下列文件:
%sysdir%\explorer.exe
%sysdir%\ctfmon.dll
ctfmon.dll是该蠕虫的后门组件,蠕虫通过注册表中的
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
加载ctfmon.dll。
2. 在注册表中增加键值:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" =
%sysdir%\explorer.exe
如果失败,则添加至:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = %SysDir%\ctfmon.dll
3. 通过对等文件分享软件进行传播
该变种把蠕虫体拷贝到Kazaa下载目录中,可能的文件名为:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
可能的扩展名为:
.bat
.exe
.scr
.pif
4. 蠕虫以自身的邮件引擎发送蠕虫体
(1)发送邮件地址的获得该蠕虫从Windows的地址簿以及一些特定类型文件中收集邮件地址,
并以自身的邮件引擎向它们发送蠕虫体,同时它也避免向一些有特定邮件帐户名的地址发送。
a. 从如下扩展名文件中搜寻邮件地址:
wab
pl
adb
dbx
asp
php
sht
htm
txt
b. 一旦选择了一个邮件地址来发送自身后,该蠕虫也将向该邮件地址同一域名的如下帐户发送
自身:
john maria dan brent
alex jim dave alice
michael brian matt anna
james serg steve brenda
mike mary smith claudia
kevin ray stan debby
david tom bill helen
george peter bob jerry
sam robert jack jimmy
andrew bob fred julie
jose jane ted linda
leo joe adam sandra
c. 避免发送的邮件地址帐户名:
root nothing site not
info anyone contact submit
samples someone soft feste
support your no ca
postmaster you somebody gold-certs
webmaster me privacy the.bat
noone bugs service page
nobody rating help
(2)蠕虫发送的带毒电子邮件格式
a. 邮件主题:(下列之一)
Status
hi
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail
b. 邮件正文:(下列之一)
The message cannot be represented in 7-bit ASCII encoding and has been sent
as a
binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message hasbeen received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
c. 邮件附件文件名:(下列之一)
document
readme
doc
text
file
data
message
body
d. 邮件附件扩展名
邮件附件可能有一个或两个文件扩展名,如果它有两个扩展名,则第一个是:(下列之一)
.htm
.txt
.doc
第二个扩展名,或者如果只有一个扩展名,则是:(下列之一)
.pif
.scr
.exe
.cmd
.bat
e. 邮件附件所用图标使得它看起来是一个文本文件
5. 期限
该蠕虫将在2004年3月1日后停止运行,但是后门程序还将继续运行。
6. 后门
该蠕虫有能力发送自身到已经感染Mydoom.A的主机上。它首先对随机生成的IP地址列表进行
扫描以便发现已被Mydoom.A感染的主机,之后尝试连接TCP 3127端口(Mydoom.A所留后门利用的
端口),如果连接成功则传送自身并立即执行,从而不需要用户通过邮件接收新蠕虫体就可更新
被感染蠕虫为新的版本。
此外,该蠕虫通过调用函数gethostbyname()获知被感染主机的主机名,解析其IP地址并扫描寻
找同一网段内感染Mydoom.A蠕虫的其他主机。
该蠕虫与Mydoom.A一样也留有后门组件(ctfmon.dll),该组件在被感染的系统中打开端口1080
以接受来自远程用户的访问。它也可能利用3128,80,8080,10080等端口。
7. DDOS攻击
该蠕虫分别于2004年2月3日和2004年2月1日对www.microsoft.com网站和 www.sco.com 网站进行
DDOS攻击。 该蠕虫在DDOS攻击时如果无法成功解析www.sco.com,则等待65秒后重新尝试,如果
无法成功解析www.microsoft.com,则等待16秒后重新尝试。
8. 阻止被感染主机访问反病毒网站
该蠕虫通过改写被感染主机的hosts file,强制被感染主机将一些著名反病毒公司及其他一些商
业站点的网址解析成0.0.0.0的IP地址,从而使得该主机无法访问这些站点。改写后的hosts file
文件内容如下:
0.0.0.0 engine.awaps.net awaps.net www.awaps.net
ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com
clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net
www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net
banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com f-
secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com
updates.symantec.com
0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com
windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com
www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru
www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com
dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com
www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net
在攻击微软网站的时间到来之前还添加了0.0.0.0 www.microsoft.com,这使得感染主机无法访
问微软站点。2月3日之后,该行被删除,从而保证DDOS攻击可以进行。如果DDOS攻击成功,
会导致所有用户很难访问该网站。
改动hosts file主要的目的是使得用户不能通过下载更新最广泛使用的反病毒产品来清除该蠕
虫。
附件四: MyDoom 的手工清除步骤
MyDoom.A手工清除步骤
----------------------
1. 删除下列注册表键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
\Version
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的
"Taskmon"="%System%\taskmon.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的
"Taskmon"="%System%\taskmon.exe"
2. 修改注册表键
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
的"数值数据"为
%SystemRoot%\System32\webcheck.dll (Win2000/NT/WinXP)
Windows\System\webcheck.dll (Win98)
3. 删除文件
%System%\Shimgapi.dll
%Temp%\Message
%System%\Taskmon.exe
MyDoom.b手工清除步骤:
--------------------------
1. 删除下列注册表键值
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
2. 删除蠕虫释放的文件
%SysDir%\explorer.exe
%SysDir%\ctfmon.dll
3. 还原hosts file
对于win2000和xp,这个文件是 %system%\system32\drivers\etc\hosts
对于win98,这个文件是 \WINDOWS\hosts
删除hosts file中所有本蠕虫所添加的部分,它们旨在阻塞对反
病毒厂商和其他商业网站的正常访问。
W32/MyDoom.B 病毒(2004/2/4)
W32/MyDoom.B 病毒
描述:
W32/MyDoom.B病毒是W32/Novarg.A病毒的变种,是基于Windowns平台的病毒,与W32/Novarg.A病毒相似 ,W32/MyDoom.B病毒
是通过电子邮件或共享的形式传播的。如果用户打开了邮件中附带的不明文档或运行 了病毒程序,就会感染Windowns操作系统,
W32/MyDoom.B病毒除了通过电子邮件的形式传播外, 还在本地系统安装后门(backdoor),并且进行网络扫描与DDoS攻击,产生大量的网络流量.
感染系统:
Microsoft Windows 各种版本
病毒特征:
1。邮件:
主题:
可能包含如下文本:
Delivery Error,
hello
Error
Mail Delivery System
Mail Transaction Failed
Returned mail
Server Report
Status
Unable to deliver the message
正文:
.....
[一些随机的内容]
......
test
The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP session. Partial message
has been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
附件:
名称:body, doc, text, document, data, file, readme, message
后缀:exe, bat, scr, cmd, pif
2。共享的病毒文件:
病毒在系统中产生共享目录,共享的文件可能命名为{attackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack,
MS04-01_hotfix, NessusScan_pro, icq2004-final, winamp5, xsharez_scanner, zapSetup_40_148}.{exe,
scr, pif, bat}.
病毒运作机理:
1。病毒在系统目录(%windir%\system32,Windows NT/2000/XP; %windir%\system,Windows 95/98/ME)下产生两个文件,
explorer.exe是主要的病毒执行体,ctfmon.dll是用来提供后门的程序。并且explorer.exe显示的不是执行文件的图标而是自定义的文本图标。
注:合法的explorer.exe是在Windows目录(%windir%)下。
病毒还重写(%windir%\system32\drivers\etc\hosts,Windows NT/2000/XP;%windir%\hosts,
Windows 95/98/ME)下的文件,阻止DNS对一
些站点的域名解析(其中包括许多知名的防病毒公司的站点) 。
2。病毒拷贝生成的病毒文件{attackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack, MS04-01_hotfix,
NessusScan_pro,
icq2004-final, winamp5, xsharez_scanner, zapSetup_40_148}. {exe, scr, pif, bat}到共享的目录中。
3。病毒修改注册表以便自动运行。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Explorer"="C:\WINDOWS\system32\explorer.exe"
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="%SystemRoot%\System32\ctfmon.dll" (REG_EXPAND_SZ)
而正常的注册表值是 %SystemRoot%\System32\webcheck.dll (REG_EXPAND_SZ)
4。W32/MyDoom.B病毒收集被感染了系统的邮件地址并通过自带的SMTP发送带病毒的邮件。这个特性的一个显著特点是在安装有病毒扫描的邮件服务器
会自动对感染的邮件回复,并把邮件退回给发送者,并产生不可发送报告。
5。后门程序ctfmon.dll打开1080, 3128, 80, 8080, 10080/TCP端口,入侵者就可以通过这些端口控制 本地系统。
6。病毒扫描监听3127/TCP端口的机器(有可能是3127-3198端口)。
7。病毒对www.sco.com(2月1日),www.microsoft.com(2月3日)等站点进行DDOS攻击。
解决办法:
1。对系统管理员
在防火墙或路由器上限制1080, 3128, 80, 8080, 10080,3127/TCP端口数据的出入。
对安装有防病毒系统的邮件服务器,应该禁止对明显感染病毒邮件的自动回复,至少应该把含有病毒的附件删除。
2。对用户
不要运行不明来源的程序。
安装防病毒产品并及时更新病毒定义文件。
系统恢复:
识别病毒进程explorer.exe(注意和正常的explorer.exe进程的区分),在任务管理器中或第三方的程序杀掉病毒进程,删除病毒生成的几个文件,
恢复正常的hosts文件。
翻译并改编自http://www.us-cert.gov/cas/techalerts/TA04-028A.html
PC机防病毒服务
1.点击下载---诺顿防病毒程序
2.运行下载到本地的诺顿防病毒端程序,进行安装。
3.点击LiveUpdate按钮,更新本机病毒定义库(或重新启动机器)。
Windows的Workstation服务缓冲区溢出漏洞。(2003/11/12)
描述:
Workstation服务是Windows操作系统为本地文件系统服务、远程文件系统服务或者网络打印请求提供资源所在的位置,并决定服务请求是基于本地系统的还是网络上的其它组件。如果Workstation服务停止,则缺省所有的请求服务都是基于本地的,Workstation服务是Windows操作系统缺省启动的服务。攻击者利用此漏洞可以对系统拥有完全的控制权。
危害程度: 高
影响系统:
Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition
补丁包:
1.Windows 2000:
Windows 2000英文版
Windows 2000中文版
2.Windows XP:
Windows XP英文版
Windows XP中文版
Windows的RPCSS服务缓冲区溢出漏洞。(2003/9/12)
描述:
RPC是Windows 操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的
RPC协议,Microsoft在其基础上增加了自己的一些扩展。 Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。
这些漏洞是由于不正确处理畸形消息所致,漏洞实质上影响的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC
DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。
危害程度: 高
影响系统:
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server? 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
不受影响的系统:
Microsoft Windows 98
Microsoft Windows Millennium
补丁下载:
Windows2000中文版
Windows2000英文版
WindowsXP中文版
WindowsXP英文版
解决W32.Welchia.Worm病毒的办法
一、最简单的清除办法:
由于该病毒有自清除的特性,可以修改系统时间年份至2004年,并重新启动系统,病毒即可清除,然后安装漏洞补丁后再矫正系统时间。
二、自动清除W32.Welchia.Worm的办法:
1、下载Symantec提供的杀毒工具
2、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
3、运行杀毒工具。
4、重新启动机器。
5、再次运行杀毒工具。
6、立刻打补丁和更新病毒库。
7、如果在2步骤中禁用了系统恢复(System Restore)功能,请重新打开。
Symatec提供的工具:
点击下载 Symatec Tool
补丁:
1.关于RPC的补丁:
Windows 2000
Windows XP
2.关于WINDOWS2000系统:
windows2000_sp4
三、手动清除W32.Welchia.Worm的办法:
1、如果操作系统为Windows Me/XP,建议禁用掉系统中的系统恢复(System Restore)功能。
2、在任务管理器关闭Dllhost.exe进程。
3、进入注册表(“开始->运行:regedit),删除如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
4、检查、并删除文件:
%SYSTEM%\WINS\DLLHOST.EXE
%SYSTEM%\WINS\SVCHOST.EXE
其中%System%表示(系统须是缺省安装目录):
Windows 95/98/Me C:\Windows\System
Windows NT/2000 C:\Winnt\System32
Windows XP C:\Windows\System32
5、重新启动机器。
6、立刻打补丁和更新病毒库。
7、如果禁用了系统恢复(System Restore)功能,请重新打开。
CCERT 关于 W32.Nachi.Worm 蠕虫公告。(2003/8/19)
CCERT公告编号:2003-017
影响系统: Windows 2000,
Windows XP ,
Windows 2003
CVE参考 : CAN-2003-0109, CAN-2003-0352
别名:
趋势科技 MSBlast.D
F-Secure LovSAN.D
NAI W32/Nachi.Worm
Symantec W32.Welchia.Worm
简单描述:
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞
(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48)
和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=28)
进行传播。
如果该蠕虫发现被感染的机器上有“冲击波”蠕虫,则杀掉“冲击波”蠕虫,并为系统打上补
丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。
ICMP蠕虫感染机器后,会产生大量长度为92字节的ICMP报文,从而导致整个网络不可用。
(ICMP流量增长趋势参见附图)。
这些报文的特征如下:
xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
4500 005c 1a8d 0000 7801 85be xxxx xxxx
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa aaaa。
蠕虫的详细信息:
在被感染的机器上蠕虫会做以下操作:
1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe
(%system%根据系统不同而不同,win2000为c:\winnt\system32,winxp为c:\windows\system32)
2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe
3、创建RpcTftpd服务,该服务取名Network Connections Sharing,并拷贝
Distributed Transaction Coordinator服务的描述信息给自身。
服务的中文描述信息为:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或
其它事务保护资源管理器
创建RpcPatch服务,该服务取名WINS Client,并拷贝Computer Browser服务的描述信息给自身。
服务的中文描述信息为:维护网络上计算机的最新列 表以及提供这个列表给请求的程序。
4、判断内存中是否有msblaster蠕虫的进程,如果有就杀掉,判断system32目录下有没有msblast.exe
文件,如果有就删除。
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段,检测这些地址段中存活的主机。
6、一旦发现存活的主机,便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。
溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况
看,通常都是707端口。
7、建立连接后发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令,根据
返回字符串判断目标系统上是否有这两个文件,如果目标系统上有tftpd.exe文件,就将tfptd拷
贝到%system%\wins\svhost.exe,如果没有,就利用自己建立的tftp服务将文件传过后再拷贝。
8、检测自身的操作系统版本号及server pack的版本号,然后到微软站点下载相应的ms03-26补丁
并安装。如果补丁安装完成就重新启动系统。
9、监测当前的系统日期,如果是2004年,就将自身清除。
感染特征:
1、被感染机器中存在如下文件:
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
2、注册表中增加如下子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcPatch
3、增加两项伪装系统服务:
Network Connection Sharing
WINS Client
4、监听TFTP端口(69),以及一个随机端口(常见为707);
5、发送大量载荷为“aa”,填充长度92字节的