2003年3月8日下午，在国内主干网络上监测到异常流量现象，经过详细的跟踪与分析，确认此种现象为一种未知的新型恶性蠕虫，鉴于此蠕虫危害较大，若不及时加以控制，将会引发较大的损失。Cncert将继续保持对此蠕虫的紧密跟踪，同时提请广大用户及时采取相应措施并关注网站新的安全公告。 病毒种类：恶性蠕虫 病毒威胁：安装远程控制后门，扩散过程可能造成网络堵塞。 病毒介绍： 该蠕虫属于黑客行为的蠕虫病毒，它通过扫描Win2k或者XP的445端口，然后进行共享会话猜测管理员系统口令。如果猜测到口令，则蠕虫建立管理会话，用psexec.exe程序通过共享上传蠕虫文件，在被感染的主机上，在注册表中Software\Microsoft\Windows\CurrentVersion\Run设置启动项，以便病毒能够在系统启动的时候加载运行。蠕虫会在主机上开启VNC后门，该后门开启5800和5900端口，能够进行远程控制。蠕虫开启扫描进程，对随机生成的IP地址进行扫描来传播感染其他主机。 建议用户用下面办法来检查是否被病毒感染： 查看系统进程是否存在Dvldr32.exe，以确认是否被病毒感染，如果您的系统被感染，那么可以结束该进程，并在正确的目录下删除相应的蠕虫文件和注册表键值，然后重新启动系统。 建议解决办法： 建议用户设置更强壮的系统密码，并进行相应的安全加固配置。可以在管理工具——本地安全策略——本地策略——安全选项中进行下面设置： 1、重设置管理员账号，将administrator账号名称设置为其他名称； 2、禁止匿名用户连接和枚举账号。 3、如果您的环境不需要进行共享远程连接，可以使用系统IPSec策略禁止445端口的通讯，或者在防火墙等边界设备上禁止445端口的通讯。 4、建议在网络的出入口，禁止5800和5900端口的通讯。 蠕虫使用的异常文件特征： 文件名 对应目录 文件大小 dvldr32.exe %windir%/system32(NT/2K) 745,984 %windir%/system(9x) explorer.exe %windir%/fonts 212,992 omnithread_rt.dll %indir%/fonts 57,344 VNCHooks.dll %windir%/fonts 32,768 rundll32.exe %windir%/fonts 29,336 cygwin1.dll %windir%/system32(NT/2K) 944,968 %windir%/system(9x) INST.exe C:\Documents and Settings\All Users\Start Menu\Programs\Startup 684,562 C:\WINDOWS\Start Menu\Programs\Startup\inst.exe C:\WINNT\All Users\Start menu\Programs\Startup\inst.exe 对注册表的修改为： "TaskMan"="C:\WINNT\Fonts\rundll32.exe" "Explorer"="C:\WINNT\Fonts\explorer.exe" "messnger"="C:\WINNT\system32\Dvldr32.exe" "SocketConnect"=dword:00000001 "AutoPortSelect"=dword:00000001 "InputsEnabled"=dword:00000001 "LocalInputsDisabled"=dword:00000000 "IdleTimeout"=dword:00000000 "QuerySetting"=dword:00000002 "QueryTimeout"=dword:0000000a "Password"=<**********> "PollUnderCursor"=dword:00000001 "PollForeground"=dword:00000001 "PollFullScreen"=dword:00000001 "OnlyPollConsole"=dword:00000001 "OnlyPollOnEvent"=dword:00000001