首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2004-02)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Novarg/Mydoom蠕蟲及其變種分析報告

發布日期:2004-02-05


受影響的軟件及系統:
====================
Microsoft Windows Server 2003
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows NT 4.0
Microsoft Windows ME
Microsoft Windows 98
Microsoft Windows 95

綜述:
======
Novarg/Mydoom蠕蟲是2004.1.28開始傳入我國的一個通過郵件傳播的蠕蟲。該蠕蟲利用欺騙性的郵件主題和內容來誘使用戶運行郵件中的附件。除了傳播自身之外,蠕蟲還會對某些網站進行拒絕服務攻擊。在傳播和攻擊過程中,會占用大量系統資源,導致系統運行變慢。蠕蟲還會在系統上留下后門,通過該后門,入侵者可以完全控制被感染的主機。該蠕蟲目前有兩個變種:Mydoom.a和Mydoom.b。由于蠕蟲的傳播速度極快,所以目前已經在我國大范圍流行。

如何判斷自己受到感染:
=====================

如果您在最近一段時間,運行過類似上面描述的可疑郵件中的附件,并且覺得系統運行變慢,特別是打開網頁、收取郵件等操作速度明顯減慢,就需要檢查一下,是否是被該蠕蟲感染。

首先點擊“開始”-->“運行”,如果您的操作系統是Windows ME、Windows 98或者Windows 95,在里面輸入“command”,如果您的操作系統是Windows 2003、Windows XP、Windows 2000、Windows NT,在里面輸入“cmd”。這樣就會出現一個命令提示符。

然后,我們在命令提示符中輸入:

---------------------------------------------------------------------------
dir /a /s %systemroot%\Ctfmon.dll
dir /a /s %systemroot%\shimgapi.dll
---------------------------------------------------------------------------

如果系統沒有被該蠕蟲感染,那么兩條命令的返回結果都應該是類似下面這樣:

---------------------------------------------------------------------------
驅動器 C 中的卷是 System
卷的序列號是 1234-5678
找不到文件
---------------------------------------------------------------------------

如果看到了類似下面的結果,則說明可能被蠕蟲感染了:

---------------------------------------------------------------------------
驅動器 C 中的卷是 System
卷的序列號是 1234-5678

C:\WINNT\system32 的目錄

2004-01-30  20:12               6,144 Ctfmon.dll
               1 個文件         6,144 字節

     列出所有文件:
               1 個文件         6,144 字節
               0 個目錄   640,774,144 可用字節
---------------------------------------------------------------------------

解決方法:
==========
由于該蠕蟲修改了注冊表和一些系統文件,所以,對于普通用戶,我們建議借助于殺毒軟件來清除該蠕蟲。另外,目前各大殺毒軟件廠商基本上都提供了針對該蠕蟲的專殺工具,可以到這些廠商的主站上下載使用。

如果您對Windows系統有一定的了解,有興趣手工清除該蠕蟲,可以參考技術分析部分的詳細描述進行相應操作。

分析:
======
該蠕蟲沒有使用特別的技術和系統漏洞,之所以能造成如此大的危害,主要還是由于人們防范意識的薄弱,和蠕蟲本身傳播速度較快的緣故。

蠕蟲作者可能手工抹去了程序中和編譯器、開發環境相關的一些信息,。不過仔細分析,還是可以知道,程序是使用Visual Studio .NET開發的。

蠕蟲在系統中尋找所有可能包含郵件地址的文件,包括地址簿文件、各種網頁文件、各種動態網頁文件等等。從中提取郵件地址,作為發送的目標。

蠕蟲郵件的主題是下列之一:
Status
hi
test
hello
Error
Delivery Error
Returned mail
Server Report
Mail Transaction Failed
Mail Delivery System

包含的附件文件名是下列之一:
document
readme
doc
text
file
data
test
message
body

附件的擴展名是下列之一:
pif
scr
exe
cmd
bat
zip

目前又有很多準變種出現,所以上述附件名等特征也不是絕對的。

蠕蟲本身用upx進行了壓縮,并且對一些字符串資源作了rot13編碼,可能是不愿意被腳本小子輕易修改后作為變種流傳出去。蠕蟲運行后會在系統中釋放出一個dll,對于Mydoom.a,是Shimgapi.dll;Mydoom.b,釋放出的文件名是Ctfmon.dll。并且在注冊表的這個位置:
\\HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
添加相應鍵值,這樣,登陸系統后,這個dll就會在資源管理器的進程空間中運行。該dll的功能是打開一個代理服務器,監聽3127端口,如果該端口被占用,則遞增,但不大于3198。

我們對Shimgapi.dll進行分析后發現,該后門有兩個功能:
1、作為端口轉發代理。
2、接收程序上傳并執行。

當后門監聽的端口收到連接之后,后門會對收到的第一個字符進行判斷,如果第一個字符是0x04,則轉入端口轉發流程:

判斷第一個字節是否0x04--> 判斷第二個字節是否是0x01 --> 取第5~8四個字節作為目標IP地址 --> 取3、4兩個字節作為目標端口 --> 進行連接并和當前socket作數據轉發

類似的,如果第一個字符是0x85,則轉入接收文件并執行的流程。也就是說只要構造符合一定格式的數據,發送給后門,就可以在機器上運行任意程序或者連接其他主機。對主機的安全威脅是很大的。

蠕蟲會把自身拷貝到系統目錄下。對于Mydoom.a,文件名是taskmon.exe;Mydoom.b是explorer.exe。并且在注冊表的以下兩個位置:
\\HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
\\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加相應鍵值,使其能夠隨在用戶登陸系統后自動運行。

蠕蟲會把自身復制到點對點共享軟件KaZaa的共享目錄下,并且取一些較有誘惑力的文件名。

Mydoom.b還會修改系統的hosts文件,將一些殺毒軟件升級網站、微軟下載站點、廣告網站進行錯誤的解析。由于默認情況下,系統在進行域名解析時會優先使用hosts文件中的設定,所以這樣的結果就是導致那些網站不能訪問。

另外,Mydoom.a在2004年2月1到2004年2月12日之間,會對www.sco.com進行拒絕服務攻擊,Mydoom.b中還添加了對微軟網站的拒絕服務。拒絕服務的方式是向網站的WEB服務發送大量GET請求。

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
彩票网站哪个最正规