|
|
最近搞资产清查系统培训,结果不知谁的原因,整个临时局域网都感染受了W32.Downadup.B蠕虫病毒。杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦。发这篇日志,就是让今后遇到该问题的朋友能够舒心点。
W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,也可利用弱密码保护的网络共享进行感染。W32.Downadup.B会在硬盘上新建autorun.inf文件,若用户进入硬盘空间,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。
W32.Downadup.B病毒介绍
别称:Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky]
类型:蠕虫
受影响的系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
W32.Downadup.B是蠕虫病毒,通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。 它还尝试传播到弱密码保护的网络共享,并阻止访问与安全相关的网站。W32.Downadup.B病毒会修改 tcpip.sys 文件。
W32.Downadup.B病毒行为特征
一旦执行,蠕虫会检查下列注册表项是否存在,如果不存在将创建这些注册表项:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
然后,它会将其自身复制为下列文件中的一个或多个:
* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
* %System%\[RANDOM FILE NAME].dll
* %Temp%\[RANDOM FILE NAME].dll
* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll
它创建具有下列特征的新服务:
服务名称:[PATH TO WORM]
显示名称:[WORM GENERATED SERVICE NAME]
启动类型:自动
接下来通过创建下列的注册表项注册为服务:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
注意:[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合:
* Boot * Center * Config * Driver * Helper * Image * Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows
该蠕虫会创建下列注册表项,以便在每次启动 Windows 时运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
接下来,蠕虫会删除所有用户创建的系统还原点。
然后蠕虫运行一个命令,通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问,从而加速传播。
蠕虫还修改下列注册表项,以便更快速地传播到整个网络:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
接下来,蠕虫会结束下列两项 Windows 服务:
* 后台智能传输服务 (BITS)
* Windows 自动更新服务 (wuauserv)
然后蠕虫修改下列文件,以禁用在 Windows XP SP2 中引入的半开放连接限制:
%System%\drivers\tcpip.sys
它还尝试通过修改下列注册表值在系统上将自身隐藏:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
下一步,蠕虫会枚举可用的 ADMIN$ 网络共享资源。 然后,它枚举这些共享资源中的用户,并尝试使用下列密码之一以现有用户的身份建立连接:
请注意:根据账户锁定设置,蠕虫的多次身份验证尝试可能会导致这些账户被锁定。
如果建立成功,则蠕虫将自身作为下列文件复制到共享:
[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll
然后在远程服务器上创建计划的作业,以便每日运行下列命令组合:
"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"
接下来,蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址:
* http://www.getmyip.org
* http://www.whatsmyipaddress.com
* http://getmyip.co.uk
* http://checkip.dyndns.org
蠕虫在本地网络网关设备上创建防火墙规则,以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。
然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器:
http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]
然后将此 URL 发送到远程计算机。
接下来蠕虫尝试通过攻击下列漏洞进行传播,以便远程计算机连接到上述命名 URL 并下载该蠕虫。
Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)
蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll
蠕虫还尝试在任意可访问的映射驱动器中创建下列文件,以便在访问驱动器时执行:
%DriveLetter%\autorun.inf
它还监控受感染计算机上的所有其他新设备,并尝试以同样的方式感染这些新添加的设备。
蠕虫获取大量的 Window API 调用以进行传播,并使其难于删除。
该蠕虫还获取 NetpwPathCanonicalize API,并在调用该 API 时,它会检查 PathName 的长度以避免进一步攻击漏洞。如果 PathName 包含该蠕虫原来具有的签名,则 PathName 可能包含加密的 URL,并且蠕虫通过此 URL 可以下载文件并执行该文件。
蠕虫在内存中修补下列 API:
* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto
蠕虫监控向域发出的包含下列任意字符串的 DNS 请求,并阻止访问这些域以便显示网络请求超时:
* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate
它联系下列站点之一以获取当前日期:
* baidu.com * google.com * yahoo.com * msn.com * ask.com * w3.org * aol.com * cnn.com * ebay.com * msn.com * myspace.com
然后检查受感染计算机上的日期是否为最新日期,即 2009 年 1 月 1 日。
然后蠕虫以下列格式基于该日期生成域名列表:
[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]
注意: [TOP LEVEL DOMAIN] 表示下列顶级域:
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
注意: [GENERATED DOMAIN NAME] 表示蠕虫创建的域名,例如基于 2009 年 1 月 1 日生成的下列域名列表示
然后蠕虫基于生成的域名联系下列远程位置:
http://[GENERATED DOMAIN NAME]。[TOP LEVEL DOMAIN]/search?q=%d
然后它从此远程位置下载更新的自身副本。
蠕虫还会与其他受感染计算机通信,通过对等连接机制接收并执行文件。这些文件需要恶意软件的作者植入蠕虫的网络中。
此蠕虫的彻底专杀方法详见后面的帖子: http://www.it168bbs.com/thread-5145-1-1.html
|
|
|手机版|小黑屋|电脑计算机论坛
( 京ICP备2022023538号-1 )
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡