LINKS
 

 

[回首页]

 

 

哈工大——安天联合Cert小组

 紧急蠕虫事态分析报告(2003-03-08-A) 

(特感谢各兄弟安全公司和网站转载本站资料,欢迎继续转载但请注明出处)

   2003年3月8日,哈工大--安天联合CERT小组,在位于中国电信、中国教育网的多个监控节点均发现网络异常异常表现如下:

1、监控节点监控到若干个节点对大量目标地址发送端口为TCP 445的包

2、每一个异常节点向连续的IP地址发包。

3、全网反映迟缓

   经过反向检测,发现发包机器有如下共性:

1、系统为Windows 系统。

2、系统开放了AT&T VNC远程管理的5800和5900端口

   我们及时与目标主机管理人员联系,进行了系统取证。

   初步检测结果如下:

   system目录下,一个名为dvldr32.exe的可执行程序,进行发出大量数据包的异常通讯。

   另外发现若干异常文件和异常注册表键值:

   异常文件列表如下:

文件名

可能出现的目录

长度

dvldr32.exe

%windir%/system32(NT/2K)

%windir%/system(9x)

745,984

explorer.exe

%windir%/fonts

212,992

omnithread_rt.dll

%windir%/fonts

57,344

VNCHooks.dll

%windir%/fonts

32,768

rundll32.exe

%windir%/fonts

29,336

cygwin1.dll

%windir%/system32(NT/2K)

%windir%/system(9x)

944,968

INST.exe

C:Documents and Settings\All Users\Start Menu\Programs\Startup
C:\WINDOWS\Start Menu\Programs\Startup\inst.exe
C:\WINNT\All Users\Start Menu\Programs\Startup\inst.exe

684,562

对注册表修改如下:

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
"messnger"="C:\\WINNT\\system32\\Dvldr32.exe"

 

[HKEY_CURRENT_USER\Software\ORL]

[HKEY_CURRENT_USER\Software\ORL\WinVNC3]
"SocketConnect"=dword:00000001
"AutoPortSelect"=dword:00000001
"InputsEnabled"=dword:00000001
"LocalInputsDisabled"=dword:00000000
"IdleTimeout"=dword:00000000
"QuerySetting"=dword:00000002
"QueryTimeout"=dword:0000000a
"Password"=hex:[此处我们做了屏蔽]
"PollUnderCursor"=dword:00000001
"PollForeground"=dword:00000001
"PollFullScreen"=dword:00000001
"OnlyPollConsole"=dword:00000001
"OnlyPollOnEvent"=dword:00000001

[HKEY_CURRENT_USER\Software\ORL\VNCHooks]

[HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs]

[HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs\EXPLORER.EXE]

 

进一步分析如下:

dvldr32.exe,采用ASPASK压缩,该程序由MS VC 6.0编写,实施发包进行网络感染操作。该文件中还包含了3个可执行程序,其中两个2个为:sysinternals所发布的行命令工具,分别是:psexesvc和Remote process launcher。这两个程序并不解拆到文件系统中,只是留给dvldr32.exe自己调用。

另外一个程序为一个不常见安装工具所制作的安装包。该安装包中包括5个文件,其中3个文件(explorer.exe;VNCHooks.dll;omnithread_rt.dll)属于AT&T所发布的网管工具VNC, nc的3.3.3.9版本)。

rundll32.exe不是正常的MS系统的RUNDLL32,似乎为一个LINUX移植到WINDOWS平台的程序,具体机理我CERT小组正在分析中。

程序传播基本机理:

该程序运行后,会随机选择2个IP段,连接对方445的网络包,一旦连接成功,则用自身一份字典列表穷举对方超级用户口令,一旦破解成功,则将自身复制到目标系统中。

后门:

该程序将正常系统管理工作VNC作为后门,安装到用户系统下,通过修改配置,使VNC SERVER图标不出现,不过由于VNC在系统锁定状态下不能连接,因此功能有所折扣。

用户处理:

NT/2K用户应该为Administrator设置密码,之后采用AntiyPort

http://www.antiy.com/service/antiyports.exe

或其他进程管理工具,首先中止名为dvldr32.exe的进程,之后删除掉上述文件列表中的所有对应文件,最后重新启动机器。

专杀工具/进一步响应消息:

哈工大——安天联合Cert小组将继续关注态势进展,在www.Antiy.com上发布更加深入地分析报告,我们预计将在北京时间2002年3月8日21:40发布中英文两种版本,专杀工具。

我们预计在北京时间2002年3月9日更新Antiy Ghostbusters病毒安装文件。在安装版本文件发布之前,Antiy Ghostbusters捉鬼队用户,可以下载此单独库文件

http://www.antiy.com/update/ex.gbl

(默认路径为:C:\Program Files\Antiy Labs\Antiy Ghostbusters)覆盖同名病毒库文件,就可以检测此蠕虫。