首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2006-01)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

會破壞文件的惡性蠕蟲“Blackworm”正在流行并即將發作

發布日期:2006-01-29


受影響的軟件及系統:
====================
Windows 95
Windows 98
Windows ME
Windows NT
Windows 2000
Windows XP
Windows Server 2003

綜述:
======
一個通過郵件和網絡共享傳播的蠕蟲“Blackworm”正在流行。該蠕蟲會在每個月的第3天破壞磁盤上的數據文件,最近一次破壞將發生在2月3日,也就是農歷正月初六。

分析:
======
“Blackworm”蠕蟲(以下簡稱Blackworm)運行后,會釋放出下列文件:

%SystemRoot%\Rundll16.exe
%SystemRoot%\System32\scanregw.exe
%SystemRoot%\System32\Winzip.exe
%SystemRoot%\System32\Update.exe
%SystemRoot%\System32\WINZIP_TMP.EXE
%SystemRoot%\System32\SAMPLE.ZIP

如果感染的系統是Windows 95、Windows 98、Windows ME,那么上面的路徑“%SystemRoot%\System32”應改為“%SystemRoot%\System”。

另外,Blackworm還會將自身拷貝為一個隨機的文件名或者下面這些:

movies.exe
New WinZip File.exe
Zipped Files.exe

為了讓自身能隨系統的啟動而運行,Blackworm會在注冊表的自啟動項增加鍵值:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry = "scanregw.exe /scan"


為了對抗反病毒軟件,Blackworm還會在下列注冊表自啟動項中刪除流行的反病毒軟件所使用的鍵值:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

這些鍵值包括:

APVXDWIN、avast!、AVG7_CC、AVG7_EMC、AVG7_Run、AVG_CC、Avgserv9.exe、BearShare、defwatch、DownloadAccelerator、kaspersky、KAVPersonal50、McAfeeVirusScanService、NAV、Agent、OfficeScanNT、Monitor、PCCClient.exe、pccguide.exe、PCCIOMON.exe、PccPfw、Pop3trap.exe、rtvscn95、ScanInicio、SSDPSRV、TM、Outbreak、Agent、tmproxy、Vet、Alert、VetTray、vptray

另外,Blackworm還會在程序文件夾中搜索這些反病毒軟件的目錄,并刪除其中的EXE和DLL文件:

%ProgramFiles%\Alwil Software\Avast4
%ProgramFiles%\BearShare
%ProgramFiles%\DAP
%ProgramFiles%\Grisoft\AVG7
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal
%ProgramFiles%\McAfee.com\Agent
%ProgramFiles%\McAfee.com\shared
%ProgramFiles%\McAfee.com\VSO
%ProgramFiles%\Morpheus
%ProgramFiles%\NavNT
%ProgramFiles%\Norton AntiVirus
%ProgramFiles%\Symantec\Common Files\Symantec Shared
%ProgramFiles%\Symantec\LiveUpdate
%ProgramFiles%\Trend Micro\Internet Security
%ProgramFiles%\Trend Micro\OfficeScan
%ProgramFiles%\Trend Micro\OfficeScan Client
%ProgramFiles%\Trend Micro\PC-cillin 2002
%ProgramFiles%\Trend Micro\PC-cillin 2003

Blackworm還會查詢下面這些注冊表鍵值,獲取程序的安裝目錄,然后刪除其中的EXE和DLL文件:

[HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps]
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum]
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe]

Blackworm會關閉所有標題包含下面這些字串的窗口:

SYMANTEC、SCAN、KASPERSKY、VIRUS、MCAFEE、TREND MICRO、NORTON、REMOVAL、FIX


Blackworm可以通過郵件和網絡共享兩種方式傳播自身。

Blackworm會在系統中搜索包含“CONTENT.”和“TEMPORARY”的文件和下面這些擴展名的文件,從其中尋找郵件地址:

HTM、DBX、EML、MSG、OFT、NWS、VCF、MBX、IMH、TXT、MSF

然后向這些郵件地址發送自身。郵件主題可能是這些:

*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad

蠕蟲本身將作為編碼后的附件被發送。

Blackworm還會在網絡中搜索共享文件夾和口令薄弱的系統,一旦找到有寫權限的“ADMIN$”和“C$”共享,就會將自身以“WINZIP_TMP.EXE”的文件名復制過去。并通過Windows的“Task Scheduler”服務來遠程運行拷貝過去的蠕蟲。同時,Blackworm也會嘗試通過訪問網絡共享來刪除遠程機器上的反病毒軟件。


Blackworm會在每個月的第3天破壞磁盤上下列擴展名的文件:

DOC、XLS、MDE、MDB、PPT、PPS、RAR、PDF、PSD、DMP、ZIP

在其中寫入垃圾數據:“DATA Error [47 0F 94 93 F4 K5]”。

解決方法:
==========
一些反病毒軟件廠商提供了針對該蠕蟲的專殺工具,可以使用這些專殺工具來清除蠕蟲:
http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/[email protected]

附加信息:
==========
http://isc.sans.org/blackworm
http://www.lurhq.com/blackworm.html
http://www.lurhq.com/blackworm-stats.html
http://www.symantec.com/avcenter/venc/data/[email protected]
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A
http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMywife.E%40mm

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
彩票网站哪个最正规