您所在的位置： 首页 全球要闻 国内要闻	来源:Antiy快讯 日期: 2003-06-11
蠕虫 (Worm.Win32.Mofeir)事态技术分析报告
2003年6月5日-8日，哈工大--安天联合CERT小组，通过自行开发的P-A监控预警平台陆续截获发一些异常通讯： 　　 在第一批次锁定了若干问题主机后，经过反向检测，初步发现发包机器有如下共性： 　　1、系统为Windows 系统（2K系统居多）。 　　2、系统超级用户管理员密码为空。 　　 我们及时与多台目标主机管理人员联系，进行了系统取证。 　　初步检测结果如下： 　　 发现若干异常文件和异常注册表键值：当前态势：目前该蠕虫已经在黑龙江省内一些内网流行，目前已经发现第2个变种。 　　二、分析报告： 　　系统分析*可能的异常文件列表（变种B）： 　　文件名 可能出现的目录 长度 说明 　　scardsvr32.exe %windir%\system32(NT/2K) 　　%windir%\system(9x) 38,874 主文件 　　scardsvr32.dll 同上 20,480 动态连接库 　　MoFei.DAT 同上 - 扫描日志 　　MoFei.MIS 同上 - 操作脚本 　　MoFei.VER 同上 0 　 　　MoFei.ID 同上 - 可能为签名 　　该蠕虫住程序和动态连接库，采用upx压缩。 　　系统分析*可能的注册表修改： 　　Win2k 　　REGEDIT4 　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv] 　　ImagePath = %SystemRoot%\system32\ScardSvr.exe 　　ErrorControl = dword:00000000 　　Start = dword:00000003 　　Type =dword: 00000020 　　Win9x 　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 　　SCardSvr = %Windows%\System32\SCardSvr.Exe 　　系统分析*基本机理： 　　该蠕虫感染后将进行网络扫描，并首先采用如下密码档基于一个用户列表穷举远端用户的密码： 　　空 　　stgzs 　　security 　　super 　　oracle 　　secret 　　root 　　admin 　　password 　　passwd 　　pass 　　88888888 　　888888 　　00000000 　　000000 　　111 　　11111 　　111111 　　111 　　fan@ing* 　　54321 　　654321 　　12345678 　　1234567 　　123456 　　12345 　　1234 　　123 　　12 　　密码破解成功后，将自身copy到远端系统的system32目录下，并通过admin$执行。 　　该蠕虫的最终目的是为了给系统添加后门，该蠕虫将向系统添加一个名为tsinternetuser的用户（在Windows Server 系统上这时超级终端服务的内建用户）并将用户口令设置为******[此处作了屏蔽]，并将该用户添加到管理员组。 　　该病毒提供了远端控制命令，并可以执行“批处理文件”，MoFei.MIS就是这样的文件。 　　该蠕虫添加完后门后，可能回从网上download一个名为sckiller的自毁程序，自我删除。 　　该病毒具有自我更新能力。 　　用户处理*手工处理 　　NT/2K用户应该首先为Administrator设置一个强壮的密码，（至少不能在蠕虫的密码档中），之后采用Antiy ghostbusters的进程服务管理功能 　　首先中止%windir%system32/scardsvr32.exe对应的进程和服务，之后删除掉“系统分析*文件列表”中的所有对应所有文件，最后重新启动机器。 　　用户处理*专杀工具 　　即使采用专杀工具，也需要首先为Administrator设置一个强壮的密码。否则再次被其他感染节点扫描时，仍然会被感染。 　　专杀工具下载：http://www.antiy.com/cert/k_mofei.exe 　　网络管理对策： 　　网管可以在路由或者防火墙上，双向关闭445/139/135等端口，以临时避免内网被感染，或者内网感染的主机对外传播。 　　进一步响应消息：我小组将继续关注态势进展，进一步维护升级报告。 　　安天实验室已经在北京时间2003年6月10日20点更新Antiy Ghostbusters病毒库升级文件包，支持查杀目前所有版本的该蠕虫。http://www.antiy.net/ghostbusters/agb_base.msp 用户可以直接下载，或者通过Antiy Live在线升级。所有Antiy Ghostbusters捉鬼队用户，可以下载此单独库文件http://www.antiy.com/update/ex.gbl （默认路径为：C:\Program Files\Antiy Labs\Antiy Ghostbusters）覆盖同名病毒库文件，就可以检测此蠕虫。结合专杀工具，能够取得更好效果。
关键词:

上一页 [ 1 2 3 4 5] 下一页