电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 3660|回复: 1

worm:win32/conficker.B以及w32.downadup.b等蠕虫病毒详解

[复制链接]
admin 发表于 2011-10-19 14:30:54 | 显示全部楼层 |阅读模式
最近搞资产清查系统培训,结果不知谁的原因,整个临时局域网都感染受了W32.Downadup.B蠕虫病毒。杀毒软件可以查杀,但是都不彻底,一边清除,一边又继续生成,让人不胜其烦。发这篇日志,就是让今后遇到该问题的朋友能够舒心点。
W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播,也可利用弱密码保护的网络共享进行感染。W32.Downadup.B会在硬盘上新建autorun.inf文件,若用户进入硬盘空间,恶意代码便会自动运行。同时,它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。一旦连接,此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。此外,W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串,并以“超时,访问不成功”的方式阻止计算机访问某些网站(如安全更新网站)。这意味着受感染的计算机可能无法安装补丁或更新杀毒软件,从而无法清除病毒威胁。
W32.Downadup.B病毒介绍
别称:Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates], W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky]
类型:蠕虫
受影响的系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
W32.Downadup.B是蠕虫病毒,通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。 它还尝试传播到弱密码保护的网络共享,并阻止访问与安全相关的网站。W32.Downadup.B病毒会修改 tcpip.sys 文件。
W32.Downadup.B病毒行为特征
一旦执行,蠕虫会检查下列注册表项是否存在,如果不存在将创建这些注册表项:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
然后,它会将其自身复制为下列文件中的一个或多个:
* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
* %System%\[RANDOM FILE NAME].dll
* %Temp%\[RANDOM FILE NAME].dll
* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll
它创建具有下列特征的新服务:
服务名称:[PATH TO WORM]
显示名称:[WORM GENERATED SERVICE NAME]
启动类型:自动
接下来通过创建下列的注册表项注册为服务:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
注意:[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合:
* Boot * Center * Config * Driver * Helper * Image * Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows
该蠕虫会创建下列注册表项,以便在每次启动 Windows 时运行:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
接下来,蠕虫会删除所有用户创建的系统还原点。
然后蠕虫运行一个命令,通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问,从而加速传播。
蠕虫还修改下列注册表项,以便更快速地传播到整个网络:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"
接下来,蠕虫会结束下列两项 Windows 服务:
* 后台智能传输服务 (BITS)
* Windows 自动更新服务 (wuauserv)
然后蠕虫修改下列文件,以禁用在 Windows XP SP2 中引入的半开放连接限制:
%System%\drivers\tcpip.sys
它还尝试通过修改下列注册表值在系统上将自身隐藏:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
下一步,蠕虫会枚举可用的 ADMIN$ 网络共享资源。 然后,它枚举这些共享资源中的用户,并尝试使用下列密码之一以现有用户的身份建立连接:
请注意:根据账户锁定设置,蠕虫的多次身份验证尝试可能会导致这些账户被锁定。
如果建立成功,则蠕虫将自身作为下列文件复制到共享:
[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll
然后在远程服务器上创建计划的作业,以便每日运行下列命令组合:
"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"
接下来,蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址:
* http://www.getmyip.org
* http://www.whatsmyipaddress.com
* http://getmyip.co.uk
* http://checkip.dyndns.org
蠕虫在本地网络网关设备上创建防火墙规则,以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。
然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器:
http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]
然后将此 URL 发送到远程计算机。
接下来蠕虫尝试通过攻击下列漏洞进行传播,以便远程计算机连接到上述命名 URL 并下载该蠕虫。
Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)
蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll
蠕虫还尝试在任意可访问的映射驱动器中创建下列文件,以便在访问驱动器时执行:
%DriveLetter%\autorun.inf
它还监控受感染计算机上的所有其他新设备,并尝试以同样的方式感染这些新添加的设备。
蠕虫获取大量的 Window API 调用以进行传播,并使其难于删除。
该蠕虫还获取 NetpwPathCanonicalize API,并在调用该 API 时,它会检查 PathName 的长度以避免进一步攻击漏洞。如果 PathName 包含该蠕虫原来具有的签名,则 PathName 可能包含加密的 URL,并且蠕虫通过此 URL 可以下载文件并执行该文件。
蠕虫在内存中修补下列 API:
* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto
蠕虫监控向域发出的包含下列任意字符串的 DNS 请求,并阻止访问这些域以便显示网络请求超时:
* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate
它联系下列站点之一以获取当前日期:
* baidu.com * google.com * yahoo.com * msn.com * ask.com * w3.org * aol.com * cnn.com * ebay.com * msn.com * myspace.com
然后检查受感染计算机上的日期是否为最新日期,即 2009 年 1 月 1 日。
然后蠕虫以下列格式基于该日期生成域名列表:
[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]
注意: [TOP LEVEL DOMAIN] 表示下列顶级域:
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
注意: [GENERATED DOMAIN NAME] 表示蠕虫创建的域名,例如基于 2009 年 1 月 1 日生成的下列域名列表示
然后蠕虫基于生成的域名联系下列远程位置:
http://[GENERATED DOMAIN NAME]。[TOP LEVEL DOMAIN]/search?q=%d
然后它从此远程位置下载更新的自身副本。
蠕虫还会与其他受感染计算机通信,通过对等连接机制接收并执行文件。这些文件需要恶意软件的作者植入蠕虫的网络中。

    此蠕虫的彻底专杀方法详见后面的帖子: http://www.it168bbs.com/thread-5145-1-1.html

borun123 发表于 2012-11-8 10:10:09 | 显示全部楼层
(一)云水深处,锦年如梦
千山万水,行尽江南。云水深处,依旧沉没着那段繁华的锦年。
喜欢回忆那些青涩纯真的日子,没有烦恼,没有忧愁,只有灿烂明媚的笑靥。纤手拨乱的发丝,浅浅的含笑,深邃的眼眸,在阳光的照耀下折射出一种无法形容的美好。
是的,这些在日光里妩媚的微笑,是一种美好。
锦瑟华年,有人告诉我,所谓的美好,就是那些曾经出现过,在你生命中留下惊鸿一瞥的事物,让你永生难忘,而后来又莫名消失的。
记忆里那片永不凋落的树叶,葬在了那个璀璨的夏天。或许真的就是这样,一切的一切,都只是曾经的一段明媚的时光,是宿命的使然,无法逃脱,且不能改变。
那只属于青春的丰沛相思,那只属于过往的似水年华,经不起流光的辗转,指尖轻轻一戳,就会破碎。这是我们卑微的宿命。
明媚的天空下,望着云朵在空中飘摆,我总是告诉自己,不要再缅怀那些过去,然而抬起头,看看天空,那炽热的日光还是会将我满含眷念的眼眸硌疼,那云瑶里的微澜我的指尖也还是无法触摸,我,也还是我,那个忧郁得透蓝的少年。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-12-28 03:39 , Processed in 0.130240 second(s), 24 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表