流行病毒大全－－PKUCERT安全提醒（1）

煎饼

CCERT关于防范W32.Sasser蠕虫公告(2004/5/10)
1 r5 b/ K3 b6 C7 d( X
$ L- g# s4 }# H8 N& x9 L- [  L
& l0 T$ w2 G5 `( K: O- u. c% R内容来源：www.ccert.edu.cn
发布日期：2004-05-01

! Z9 c6 z% m, E4 p) H影响系统：Windows 2000, Windows Server 2003, Windows XP

+ r: u* m: n# L( x  u蠕虫别名：W32/Sasser.worm [McAfee] 震荡波[瑞星]

+ L) Q/ v- X' `3 d蠕虫信息：
    W32.Sasser蠕虫是一个利用微软操作系统的Lsass缓冲区溢出漏洞（ MS04-011漏洞信
息请参见http://www.ccert.edu.cn/announce/show.php?handle=101 ）进行传播的
蠕虫。由于该蠕虫在传播过程中会发起大量的扫描，因此对个人用户使用和网络运行都会
- m# a+ W* o9 g) a& Y. R- j造成很大的冲击。
( U: |" R/ C& ^& _
详细信息：
蠕虫感染系统后会做以下操作：
    1.在系统中创建一个互斥体以保证系统中在任何时候有且只有一个蠕虫进程在运行。
   
3 H8 T9 a; A( v  L2 i9 ]. u    2.将自身拷贝为%Windir%\avserve.exe或者%Windir%\avserve2.exe（注意%windir%是个变
      量，它根据系统版本和安装路径不同而有所不同，通常情况是c:\windows或者c:\winnt）
   
7 ~6 O' [' o4 b0 Q    3.修改注册表，在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      项中添加"avserve.exe"="%Windir%\avserve.exe"值这个操作保证蠕虫在系统重新
% t5 c' v# w" E7 ]$ I* P  S* [' J. B      启动后能够自动运行。
   
    4.利用AbortSystemShutdown函数（系统意外中断错误重起函数）使系统重新启动
. Y7 k: i  L3 K5 q' v( Y   
    5.开启一个FTP服务在TCP 5554端口，用来向其他被感染的机器传送蠕虫程序
* |7 z: S; T- y/ n! \  f
/ v; c; F' f8 ~" T) ~$ N2 e    6.产生随机的网络地址，尝试连接这些地址的TCP 445端口并发送攻击程序,一旦攻
      击成功，蠕虫会在被攻击的机器的TCP 9996端口上创建一个远程的shell,然后利用
      这个远程的shell执行命令让被攻击的机器连接到发起攻击的机器的FTP 5554端口
      上下载蠕虫文件并运行。这个被下载来的蠕虫文件名是由4-5个随机的阿拉伯数字
      和_up.exe组成的（如23423_up.exe）
     
4 S3 v* H( K# g, G4 V     随机的地址按如下规则生成：
        * 50%的机会是由系统随机生成的
3 G: Q8 W5 f# R1 ?% D        * 25%的机会随机生成的ip地址的前八位（二进制）与本地的IP地址的前八位
: Z; h# }6 R3 U2 h          相同，也就是说在被感染IP地址相同的A类地址段中随机生成
4 Q. L  I* K* m% p% A2 h  P3 C        * 25%的机会随机生成的ip地址的前16位（二进制）与本地IP地址的前十六
' p* U: w1 \! w0 v) y! D         位相同，也就是说在被感染IP地址相同的B类地址中随机生成

     7.发起128个线程对上面产生的IP地址进行扫描。新的变种会发起1024个线程扫描。蠕虫的
4 s; ]2 p1 i% ]! y5 C6 B$ t% t       这个操作会占用大量的系统资源，可能使CPU的负载到达100%无法响应系统的正常请求。
* f3 q% C# M7 T; o
" e$ @: `! L  R% C: _
  z7 T2 h5 H) s2 p# @6 Y  Q* c检测控制方法
; }% |! E7 E, m% _: u8 j
3 K9 A% Q  A+ F: p, [1 b% \个人用户控制方法：
' F5 Q8 g+ \: x! r) e0 x
* 安装相应的补丁程序
$ c4 W* |8 u5 ~% X# Q* 如果无法及时安装补丁程序，请使用防火墙阻断以下端口的数据连接
  135/tcp
  139/tcp
5 d6 A* M9 u6 F6 o% B. J  445/tcp
0 K* p) \4 h( t. `  1025/tcp
  5554/tcp
  9996/tcp
# t; `: d) A* E% o, l
网络控制方法：
; z6 M) B; m" r
  在边界路由器上添加如下规则阻断445端口上的数据
- @% _% |+ d5 W! V$ o9 @# `  access-list 110 deny tcp any any eq 445
, l% H/ c% ^& b6 E- }
查杀办法：
3 E3 ?. |6 S7 P2 T
* J/ r# y3 r3 F2 e' V; d5 W* d2 M检查是否被感染的方法：
/ x, |2 E( O8 o, |7 r: m如果系统中存在以下特征就表明您已被W32.Sasser蠕虫感染了
4 N( H0 n) E! {3 ^' s* W    * 系统进程中存在名为avserve.exe的进程
    * 系统目录中存在avserve.exe文件
" b0 g8 \* }, D5 d1 B    * 注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项
      中存在"avserve.exe"="%Windir%\avserve.exe值
* P) `) F# [* ~: G' b; g* L/ H1 ]+ r
- Y* \; p: Q9 k3 B5 V* v7 D( N注意蠕虫在传播过程中如果失败，会导致系统产生异常错误重起，如果您的系统
* U3 }8 Z% K; }! H2 B* d发现这种情况，请尽快安装相应的补丁程序。
7 {; x' W& C# F! Y% z8 t2 q
' @2 K& ?7 e, Z2 C手动清除方法：
+ b  l/ ]& `5 p+ G2 P: f, T  V# d
' T! ?; }; a4 K: @; z5 u1 @" q       1.下载相应的补丁程序到本地硬盘上：
       winnt workstation 4.0 中文版+sp6补丁 中文版  繁体中文版 英文版
, P2 t  B  i/ [       winnt server 4.0 中文版+sp6补丁中文版 繁体中文版 英文版
       window2000 +（sp1或sp2或sp3或sp4）补丁中文版 繁体中文版 英文版
       winxp 中文版+sp1补丁中文版 繁体中文版 英文版
# y: [# ~+ M5 k! d$ }8 g2 M       win2003 补丁中文版 繁体中文版 英文版
      
4 {/ r6 ]) n6 k      2.结束系统进程中的下列进程  
* @! I5 k. J: ~$ y9 X* U7 t/ V; o        * avserve.exe或者avserve2.exe
        * 由4-5个随机的阿拉伯数字和_up.exe组成的名字进程（如23423_up.exe）

      3.升级系统的杀毒软件到最新的病毒库
0 o6 U9 P  ?' f- G: `6 `
      4.使用杀毒软件进行全盘扫描，发现病毒后选择删除

      5.编辑注册表程序删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中
6 A5 O# x9 R5 P: f& s, s7 z        的"avserve.exe"="%Windir%\avserve.exe值
0 W- O! _. s$ A" m
+ t) ^5 S2 B3 g  c7 [. @, s8 N      6.安装补丁程序后重新启动机器

& s" J2 p# R& B1 ^  O4 E/ m使用专杀工具清除方法：
* M" n4 S5 O  g: {& w        1、下载专杀工具 FxSasser.exe
9 f% s+ a+ l, s4 p9 e
7 _4 c6 x+ N: Z. L        2、关闭其他应用程序运行专杀工具
. k, c. t$ i% M7 E8 n4 w( K2 H6 s
# Z) k: u( H8 r) `: E  L
参考网站：
http://vil.nai.com/vil/content/v_125007.htm
: h3 R6 \, b+ v! @+ L( s: Zhttp://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html

中国教育和科研计算机网紧急响应组（CCERT）
2004 年5月1日
CCERT 关于防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B) 。(2004/2/5)

病毒名称：MyDoom
病毒别名：Shimgapi,Novarg, W32/Mydoom， 诺维格, SCO 炸弹，悲惨命运
病毒变种: MyDoom.A,MyDoom.B
7 \* i4 j7 x- |# b' ?
感染系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
6 b; |, ~: T/ o7 ?. |           Windows Server 2003, Windows XP
发现日期：2004/01/27(MyDoom.A)， 2004/01/28(MyDoom.B)

病毒简介:
: V/ Q- v9 X8 h) a" c+ W    MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病
0 M( ?, H  V1 f3 z毒程序后，病毒就会以用户信箱内的电子邮件地址为目标，伪造邮件的源地址，向外发送大量
带有病毒附件的电子邮件，同时在用户主机上留下可以上载并执行任意代码的后门（TCP 3127
到3198范围内）。
. K9 U- S+ F$ h% `
5 {0 b6 {4 T$ N, o  w　　MyDoom病毒还设定了自2月1日起向www.sco.com和www.microsoft.com网站发起大量连接
请求而造成DDOS攻击，一直持续到3月1日(但DDOS攻击停止后蠕虫留下的后门不会自动消除)。
$ c( t3 Z2 i4 R  n6 k8 `Mydoom.B还阻止被感染机器访问一些著名反病毒厂商的网站。
. s4 M5 Q; b8 k. s, Z" t/ F
2 s1 q6 M* J. _# b* o  G
个人防范建议:
    1. 立即更新您的防病毒软件，如果怀疑您的系统受到感染，立即彻底扫描整个系统；
2 j4 H4 z2 B! o0 V8 M2 j    2. 不要轻易打开下述特征的电子邮件（见附件二和附件三）；
! r7 {: R5 Z& f    3. 在收邮件的客户端软件中加入过滤规则,邮件特征参见附件:
" M- E6 m+ A0 ?- V, f  W7 K    4. 如果您的防病毒软件不能清除MyDoom病毒，您可以使用Symantec 公司提供的MyDoom专杀
工具(见附件一)

0 k# N# e) k2 T7 @/ L1 u校园网防范建议：
    1. 教育您的用户不要轻易打开电子邮件附件，特别是后缀名是.vbs, .bat, .exe, .pif
' y3 P4 W2 q, s8 R; F, x and .scr的附件，这些文件经常用于传播病毒；
    2. 教育用户安装所有的操作系统补丁，经常更新系统；
, G3 D  `& `; a% V% W6 I   

附件一：Symantec 公司提供的MyDoom 清除工具
7 o% A' o3 U1 C  J, D附件二：MyDoom.A的特征分析
: j. O  c2 [( [5 I+ H+ n' u& C) D附件三：MyDoom.B的特征分析
附件四：MyDoom的手工清除步骤
4 b9 t1 I) |3 g$ q
/ k3 E- }. {7 K% R3 K# C

  X. U% K4 V5 @. U4 Z1 ~6 ~附件一：Symantec 公司提供的MyDoom 专杀工具
2 d2 G; f; G2 x3 s2 X        本地下载:  fxMydoom.exe
( a8 o0 l# n$ a7 o! w4 b: F! K        下载到本地双击运行即可，详细使用说明参见 Symantec 公司提供的说明

/ V+ k& R) x! p2 P附件二：MyDoom.A的特征分析（源自Symantec 公司， CCERT 编译）
( N% e5 \" O, j
" C7 M& H5 @+ z! o: @    MyDoom.A 感染以后，将执行如下操作:
    1.创建下列文件：
. v9 b5 L& I- \        %System%\Shimgapi.dll. Shimgapi.dll 会监听从TCP 3127 到 3198 范围内的一个端
口，从这个后门可以下载和执行任意程序；  
2 R+ ]0 ^# r7 w- c6 Y' Y3 [7 B+ W7 m        %Temp%\Message. 这个文件含有随机字符，以Notepad 显示；
        %System%\Taskmon.exe.
) n; l. ?- I; `0 A3 R       
$ {- Z: J$ }# L6 x  O0 e) \- u: m
9 B# m' z  E  ~* u    2.将值："(Default)" = "%System%\shimgapi.dll"
      添加到注册表键：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
* {4 z4 ^  R: A# I\InProcServer32
- z7 y) n0 T& X+ w2 o      将值："TaskMon" = "%System%\taskmon.exe"
      添加到以下注册表键中：
        HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
; @1 O6 f8 |+ \4 K        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
+ b+ q% T( K, w3 s& r0 n( R" l
   3.2004年2月1日到2004年2月12日,通过新创建63个会发送GET请求、直接连接到80端口的线
程，尝试对www.sco.com发动拒绝服务攻击.
) k% A* B: j) _5 t

- ?  e) Y8 y- m  
   4.在具有下列扩展名的文件中搜索电子邮件地址,并发送带有
  X# w$ j' Y) t! @+ L5 w5 k/ z$ J病毒的邮件。
* W' p0 `: b% ^% p, y0 E        .htm
- h. |. f) h% D0 z$ h        .sht
- q+ Z& n0 G2 l        .php
% p- T; k( O" Y* I9 y9 D9 a; A        .asp
8 A2 X; J1 H* Z9 t4 n. K2 a: l        .dbx
* u- Y* L& B. Q4 M/ b, N        .tbb
- g4 D$ R) _2 Y+ k        .adb
' p2 G" D1 R1 s' C# \+ A        .pl
        .wab
1 r# f( ~1 f+ Y; d        .txt
      注意:它会忽略以 .edu 结尾的地址,但不会忽略以.edu.cn结尾的地址。
  F8 m0 }/ r: N' a; z4 S2 F6 |    5.将自身作为下列文件之一复制到 Kazaa 下载文件夹：
3 _4 M( d0 ?$ B# T/ K- ]        winamp5
        icq2004-final
4 @) w- R; H; N% a  f  P        activation_crack
        strip-girl-2.0bdcom_patches
5 H" E, s/ m2 y6 |7 z& i        rootkitXP
) B1 [) {/ t* [  v        office_crack
        nuke2004
7 Q2 b/ f& q% Z+ O$ J9 ~# ^
0 f; t+ W! r4 F        使用下列之一作为扩展名：

+ \( G9 G& v$ S; O$ p        .pif
( t2 ^8 g. [. h- y        .scr
" [# j) F/ o% H        .bat
: w5 |1 |6 y6 d) D3 Y! M        .exe
   
      6.这个病毒还包括一种功能，可以把病毒自身远程安装到被感染MyDoom.A的系统上。实现
& m- K" m9 p4 q: Y) K步骤如下：
产生2到6个并发进程，随机扫描一个C类的网络的3127端口，如果连接成功，则病毒会发送一个升
: Y0 ~) n" L9 [. g, Q; x8 g命令，并把自身拷贝到远程计算机上。
- x) `1 l5 L2 w: o! q$ H* V  [

0 p3 E1 _6 U4 N) n" _/ h' x
   MyDoom.A发送的邮件具有如下特征:
   
4 m% H, @; b2 c5 o    发件人：可能是经过伪装的发件人地址
2 a7 T' w3 N% N7 j' ^* R
% X0 w7 k2 d! ]. H4 S3 d) G    主题：可能是下列之一：
4 N) K% u- M" L* i2 D; U" b9 Y        test
        hi
        hello
2 |" X( {: v- S+ S$ `7 k3 u        Mail Delivery System
        Mail Transaction Failed
        Server Report
        Status
        Error

4 C  M8 y% b( ]0 `/ ]/ H: ^    正文：可能是下列之一：
! ]4 y4 R9 ]$ z/ H7 ?        Mail transaction failed. Partial message is available.
        The message contains Unicode characters and has been sent as a binary attachment.
+ Y9 o# j/ H$ x" i! S0 \* G        The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.
! K' {& _& Y6 `4 |5 }* W, ]
1 k4 {% i' F  G% U1 m+ W" ~; k7 Z    附件：文件名可能是下列之一：
        document
: v% r6 A0 J+ v$ H) \; y        readme
        doc
        text
        file
4 t2 A+ u2 u! m) O3 j$ W5 L        data
        test
        message
        body
- q* C  i1 M6 G/ G' L4 W3 V
$ I* h6 D( \  v5 v9 B3 V     注意：
% X( }0 L! ?9 f3 t7 _3 D  l        附件可能有两个后缀。其中一个后缀可能下列之一：
        .htm
        .txt
6 G7 r- k7 j9 g) L6 M* T2 r        .doc

        蠕虫总是会使用下面后缀中的一个：
        .pif
        .scr
1 F5 L, S) M) s" o7 `        .exe
1 V8 _3 f+ I" m; ^        .cmd
" q# o. h* p* B% ^        .bat
$ D0 h  ^  H" b! y8 j* H6 M" k        .zip（这是一个实际上含有病毒程序的 .zip 文件。该蠕虫程序的名字和这个 .zip
的文件名一致。）
" W0 M6 v( z* E0 w) y; ?1 y
; {$ [- H7 r# Q( R2 Z6 d
8 h4 B$ }$ d0 p& i  ]8 T' e
% G  \$ o$ y9 r, R, c1 N; S1 u1 \) x附件三：MyDoom.B的特征分析（源自F-Secure,CNCERT翻译）
7 j- j$ a& c$ V# T1 @4 z
--------------------------
该蠕虫运行后首先寻找Mydoom.A,，如果找到则终止Mydoom.A蠕虫体进程的运行并且删
除"shimgapi.dll"文件。
4 G5 C9 z% H+ M1． 生成下列文件：
        %sysdir%\explorer.exe
* Q4 h, l+ A9 Z, a3 c4 m        %sysdir%\ctfmon.dll

/ G( C# Z& N& @1 r    ctfmon.dll是该蠕虫的后门组件，蠕虫通过注册表中的
$ M2 G3 G$ l! Q1 C. [8 L8 s, G    [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
& P6 l# N' T$ ?7 r* X3 P- x     加载ctfmon.dll。
2． 在注册表中增加键值：
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" = %sysdir%\explorer.exe

5 w+ _) p1 G6 y; n" y  d4 X1 d如果失败，则添加至：
# E# D+ B/ j+ v8 I8 i8 O1 ?* O5 f$ C9 v  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
( J/ K/ C; L% i+ w"Explorer" = %sysdir%\explorer.exe

" L: C- ?2 Z* @, o+ |[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
4 g/ i1 e0 G7 W- W, V, C! \: Q- D"(Default)" = %SysDir%\ctfmon.dll
  A& _! M6 N+ t" G0 ]* j: Q  s, i3． 通过对等文件分享软件进行传播
/ W; r* W% J& q& j& P3 Y  z该变种把蠕虫体拷贝到Kazaa下载目录中，可能的文件名为：
    NessusScan_pro
' T! Y: |5 R  g# z- i2 x6 C2 H    attackXP-1.26
: z4 a$ r, X. y- g3 J" K    winamp5
    MS04-01_hotfix
; r  J  @) R1 C7 F  a! {$ c    zapSetup_40_148
9 J' z0 t; ~8 C6 i' ]/ }8 j    BlackIce_Firewall_Enterpriseactivation_crack
    xsharez_scanner
    icq2004-final
. t5 z. k" `7 l7 i3 ^. W可能的扩展名为：
    .bat
    .exe
    .scr
    .pif
# H, v$ ~( [  V- n
: t4 z4 Z& m7 |4． 蠕虫以自身的邮件引擎发送蠕虫体
" `' g6 W& P3 N1 Y" t
（1）发送邮件地址的获得该蠕虫从Windows的地址簿以及一些特定类型文件中收集邮件地址，
- B) f* u7 @% Q8 M4 L* `  G并以自身的邮件引擎向它们发送蠕虫体，同时它也避免向一些有特定邮件帐户名的地址发送。
2 y* Q+ z  J# x, R) `- z
a. 从如下扩展名文件中搜寻邮件地址：
    wab
6 Z' o% x4 t7 L$ X    pl
9 o7 Z1 M. H8 t% K" i: h& X7 x, q    adb
3 L) H  @( o% o0 T3 j    dbx
    asp
    php
    sht
    htm
! l# Z$ v: Y' P: {' u8 ^    txt

b. 一旦选择了一个邮件地址来发送自身后，该蠕虫也将向该邮件地址同一域名的如下帐户发送
自身：

    john maria dan brent
" G6 p/ N0 m1 v0 D- `3 r. I    alex jim dave alice
( b8 W/ w/ F- o    michael brian matt anna
    james serg steve brenda
    mike mary smith claudia
    kevin ray stan debby
  R: K' L) H2 e) t7 I. t    david tom bill helen
    george peter bob jerry
    sam robert jack jimmy
* T0 ~: t" i  U7 H" X    andrew bob fred julie
3 C3 A' u1 M. ~# f    jose jane ted linda
2 m9 Y' A, v8 m" j( [& U6 `    leo joe adam sandra
) Q5 [6 M' G1 U
c. 避免发送的邮件地址帐户名：
$ [7 b: K, d  O6 [
! }6 c4 a1 z2 [    root nothing site not
& Z1 G' _. ?# e. q6 F! @    info anyone contact submit
2 ?% g- Q4 T- f& S; R. q    samples someone soft feste
    support your no ca
    postmaster you somebody gold-certs
    webmaster me privacy the.bat
  r& S: d5 i2 g    noone bugs service page
    nobody rating help   
' |" v. L) Y. ?  T  s
（2）蠕虫发送的带毒电子邮件格式

8 q: h# M# m/ @a. 邮件主题：（下列之一）
    Status
( _" A# `% Y9 q, v; _. G    hi
$ W0 p2 M4 o& k) L' T( X    Delivery Error
9 Z7 F% J. ^% G! o; T    Mail Delivery System
* H8 g/ U- t4 k; G# j& X    hello
6 E, ?0 h, a4 W, d  m    Error
    Server Report
, `( N3 n4 b' l% u, V" G" T    Returned mail

% ]/ s4 L1 Z1 c" @' V2 p$ Kb. 邮件正文：（下列之一）
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message hasbeen received.
, P' ~1 |! E2 O; e' Q" |The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
3 `6 `) y9 _2 u: N0 O
3 t) x: _# n; J2 j. G" \9 x0 z: Cc. 邮件附件文件名：（下列之一）
, e/ ?) e3 y/ i
4 {8 Y/ V7 Z/ h5 j    document
5 `( w; P7 \+ Y$ L) F    readme
) X  h( O. L& e    doc
& d2 F1 T- V" f9 e, n- s5 `    text
    file
    data
- J$ P7 Z# ?+ g5 t    message
0 P' Q; Q3 l3 I( S: ?    body
' Q4 S, ^' S+ ]3 K9 l
d. 邮件附件扩展名
  {! B+ |5 x+ V# D9 Z邮件附件可能有一个或两个文件扩展名，如果它有两个扩展名，则第一个是：（下列之一）
   .htm
   .txt
  j3 R3 B1 O  p% X+ ?- L   .doc
! w4 g1 L3 F6 O  ~
9 R$ c1 j, y+ B% C& n4 I$ Z) X第二个扩展名，或者如果只有一个扩展名，则是：（下列之一）
* l5 D+ x$ r# j5 _8 P$ p0 L2 U8 A
    .pif
3 z( t; {, r% d' A& {  W/ r1 t    .scr
    .exe
    .cmd
    .bat
" F* h/ Q. h$ ?1 h. F; ~* X
e. 邮件附件所用图标使得它看起来是一个文本文件
4 v# U8 P% y2 {' C# Y& I
5． 期限
! Y& H% w0 C- _; t    该蠕虫将在2004年3月1日后停止运行，但是后门程序还将继续运行。
# D! V9 w- n# R0 T/ z# k4 l6． 后门
    该蠕虫有能力发送自身到已经感染Mydoom.A的主机上。它首先对随机生成的IP地址列表进行
扫描以便发现已被Mydoom.A感染的主机，之后尝试连接TCP 3127端口（Mydoom.A所留后门利用的
7 M, k$ L4 B2 r6 {: \8 V) m端口），如果连接成功则传送自身并立即执行，从而不需要用户通过邮件接收新蠕虫体就可更新
被感染蠕虫为新的版本。

此外，该蠕虫通过调用函数gethostbyname()获知被感染主机的主机名，解析其IP地址并扫描寻
: R5 U) ~; |9 V找同一网段内感染Mydoom.A蠕虫的其他主机。

+ Z( t$ a' S8 {% V+ v  c该蠕虫与Mydoom.A一样也留有后门组件（ctfmon.dll），该组件在被感染的系统中打开端口1080
6 o  A. W) V3 r% W2 K以接受来自远程用户的访问。它也可能利用3128，80，8080，10080等端口。
8 s1 `+ ^9 _0 T$ J
, k/ n. \) e: v- I! h1 O1 p7． DDOS攻击
6 x1 }" o9 x% q- ^6 A+ m该蠕虫分别于2004年2月3日和2004年2月1日对www.microsoft.com网站和 www.sco.com 网站进行
DDOS攻击。 该蠕虫在DDOS攻击时如果无法成功解析www.sco.com，则等待65秒后重新尝试，如果
无法成功解析www.microsoft.com，则等待16秒后重新尝试。
+ {' ]6 |7 [2 }* h
8． 阻止被感染主机访问反病毒网站
5 X  s9 v( m9 D  t该蠕虫通过改写被感染主机的hosts file，强制被感染主机将一些著名反病毒公司及其他一些商
: Y; u# F. j3 Y业站点的网址解析成0.0.0.0的IP地址，从而使得该主机无法访问这些站点。改写后的hosts file
文件内容如下：
0.0.0.0 engine.awaps.net awaps.net www.awaps.net
ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com
clicks.atdmt.com
# h9 ~' U0 k6 p8 Z1 {  s0 t' Z. @0.0.0.0 media.fastclick.net fastclick.net
www.fastclick.net ad.fastclick.net
) m- I1 z  z6 H. Z0.0.0.0 ads.fastclick.net banner.fastclick.net
banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com f-
secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com
updates.symantec.com
1 c! n: c( ^; z0 B. U0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com
windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com
www.networkassociates.com
" S- {0 j8 h% o; `2 F' @0 c& K0.0.0.0 networkassociates.com avp.ru www.avp.ru
www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
. I" K! R$ ^6 A0 j+ O3 G  l0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com
. R9 p0 K3 [7 ]1 ~  ]8 q dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com
www.trendmicro.com
" i5 P; Q9 b1 Q! s" |1 t0 T& c0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
- ^0 i& n( {, h) e3 O0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net
  X2 \) A' O4 p2 U; _4 ?在攻击微软网站的时间到来之前还添加了0.0.0.0 www.microsoft.com，这使得感染主机无法访
问微软站点。2月3日之后，该行被删除，从而保证DDOS攻击可以进行。如果DDOS攻击成功，
2 E* I# L$ Z$ F9 o! I会导致所有用户很难访问该网站。
0 m* W; t& h6 A7 }( K) [
4 ]' p8 h' k. U0 j/ m* D改动hosts file主要的目的是使得用户不能通过下载更新最广泛使用的反病毒产品来清除该蠕
# Y$ I$ @7 {3 G7 z$ h虫。

& o0 T  T% @+ ?2 I* G

4 P' e& u6 T+ o附件四: MyDoom 的手工清除步骤

MyDoom.A手工清除步骤
+ Y% _) H0 a9 }/ Y# k----------------------
1． 删除下列注册表键值
# Z' c. F, y- u6 j6 I6 k6 JHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
* I. m7 f6 x/ R5 ]7 w' Y\Version
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的
& G# I' h( H$ t3 b! h   "Taskmon"="%System%\taskmon.exe"
; |7 i: W2 h/ K7 D9 l: AHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的
   "Taskmon"="%System%\taskmon.exe"

4 Z3 i* p$ d, k2． 修改注册表键
, j8 {2 I# o2 \# C1 EHKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
& D' ?) g! v& ^* A% A   的"数值数据"为
( F7 e" V0 X) c* Z%SystemRoot%\System32\webcheck.dll (Win2000/NT/WinXP)
Windows\System\webcheck.dll (Win98)
  l. q+ J0 t% n- G2 f
3 J! T# T, q1 `, t! Q/ M3 N3． 删除文件
%System%\Shimgapi.dll
%Temp%\Message
' Q1 h, |* b2 ~- S$ i) {9 m- c%System%\Taskmon.exe
/ ?/ x: t" c1 R* i
9 C9 q) M, Z2 L- n4 }' DMyDoom.b手工清除步骤：
--------------------------
5 |$ D. ~! I! A. H1． 删除下列注册表键值
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
5 _$ d! J) s2 x7 Q- C1 N[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
% S3 G7 c+ `% N& V; J2 M) U9 V5 J2 n[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
- s; X" I, `/ V; o: A2． 删除蠕虫释放的文件
%SysDir%\explorer.exe
) ?7 c8 c- y7 {* v  F( _" J%SysDir%\ctfmon.dll
3． 还原hosts file
9 ~  e+ z: w; C, Q& h对于win2000和xp，这个文件是 %system%\system32\drivers\etc\hosts
2 }$ X8 P2 w% g/ ~& Q' G对于win98，这个文件是 \WINDOWS\hosts
& v+ l5 q2 h; S4 e! G, u$ g删除hosts file中所有本蠕虫所添加的部分，它们旨在阻塞对反
- h  {* v# J3 C; \7 d) @0 \病毒厂商和其他商业网站的正常访问。

( k, @, b/ {. k. ^, k# V
; y  r* D; C6 R# j

[此贴子已经被作者于2004-5-15 15:29:37编辑过]

0 _8 X" ?! Y$ f5 y# c; \

煎饼

W32/MyDoom.B 病毒(2004/2/4)


& [0 {5 a! P, sW32/MyDoom.B 病毒
描述：

  W32/MyDoom.B病毒是W32/Novarg.A病毒的变种，是基于Windowns平台的病毒，与W32/Novarg.A病毒相似 ，W32/MyDoom.B病毒
, f; \* i) \* f! _是通过电子邮件或共享的形式传播的。如果用户打开了邮件中附带的不明文档或运行 了病毒程序，就会感染Windowns操作系统，
W32/MyDoom.B病毒除了通过电子邮件的形式传播外， 还在本地系统安装后门（backdoor），并且进行网络扫描与DDoS攻击,产生大量的网络流量.
2 g3 V  ~; w2 |) U$ f" B
# D7 |7 B3 ?  g5 A9 v6 G感染系统：
  E6 p; m! a" A8 i  f3 U  Microsoft Windows 各种版本
病毒特征：
4 n; I- {" l, `! H* d8 M  P1。邮件：
    主题:
    可能包含如下文本：
2 S8 Z, d; x% J3 w6 R8 o    Delivery Error,
    hello
. f, {! N) {* w2 A7 O    Error
- Y6 Z  U) K2 L& q    Mail Delivery System
* r3 F  x  @" }3 ]    Mail Transaction Failed
    Returned mail
- N- u1 ~+ M& R6 q, K9 S    Server Report
    Status
6 x, y$ i8 M( u7 A& A( A    Unable to deliver the message

8 b$ n$ }; u/ v( n! P    正文:
    .....
    [一些随机的内容]
6 a' U: J! n3 l; x  j+ H( `7 x) y    ......
' F2 \$ `& J, ?9 g' Z    test
- y. E3 Q9 [6 P7 o    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary  attachment.
    sendmail daemon reported: Error #804 occured during SMTP session. Partial message has  been received.
, ]: T3 ^- B5 z) h4 V0 K" ?    The message contains Unicode characters and has been sent as a binary attachment.
% Y7 u; v. _5 {% K    The message contains MIME-encoded graphics and has been sent as a binary attachment.
. s% s4 w7 l( @5 w5 A    Mail transaction failed. Partial message is available.
) u6 a5 T* s4 Z' j* ~" j# R 附件:   
  名称：body, doc, text, document, data, file, readme, message
  后缀：exe, bat, scr, cmd, pif

2 |/ z9 \% ~: m0 `; t2。共享的病毒文件：
  T9 W* i6 ^* a0 Y, ^8 {   病毒在系统中产生共享目录，共享的文件可能命名为{attackXP-1.26,  BlackIce_Firewall_Enterpriseactivation_crack,
MS04-01_hotfix, NessusScan_pro, icq2004-final,  winamp5, xsharez_scanner, zapSetup_40_148}.{exe, scr, pif, bat}.

病毒运作机理：
  1。病毒在系统目录(%windir%\system32，Windows NT/2000/XP； %windir%\system，Windows  95/98/ME)下产生两个文件，
    explorer.exe是主要的病毒执行体，ctfmon.dll是用来提供后门的程序。并且explorer.exe显示的不是执行文件的图标而是自定义的文本图标。
) X5 P6 ~) l$ Y; ^8 ^    注：合法的explorer.exe是在Windows目录(%windir%)下。
    病毒还重写(%windir%\system32\drivers\etc\hosts，Windows NT/2000/XP；%windir%\hosts， Windows 95/98/ME)下的文件，阻止DNS对一
    些站点的域名解析（其中包括许多知名的防病毒公司的站点） 。   
, p! U) I1 \" |: j; i! k1 p7 }# S  2。病毒拷贝生成的病毒文件{attackXP-1.26, BlackIce_Firewall_Enterpriseactivation_crack,  MS04-01_hotfix, NessusScan_pro,
0 ]/ {- `+ h1 k3 Q4 U. [3 k# ~$ R. v    icq2004-final, winamp5, xsharez_scanner, zapSetup_40_148}. {exe, scr, pif, bat}到共享的目录中。
  3。病毒修改注册表以便自动运行。     
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
# l- O" o3 r& S7 d* B+ _6 k/ r; i     "Explorer"="C:\WINDOWS\system32\explorer.exe"
0 I8 s$ A5 `/ B3 F9 u
5 |: `; D) J# t1 v: v5 g/ T    [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
& N$ e( N3 ~4 Q3 `: E* W4 W3 n$ ?     @="%SystemRoot%\System32\ctfmon.dll" (REG_EXPAND_SZ)
" ]% n* n9 M" M   而正常的注册表值是 %SystemRoot%\System32\webcheck.dll (REG_EXPAND_SZ)
, T2 E. |2 C$ A7 `, F7 ~9 r
  4。W32/MyDoom.B病毒收集被感染了系统的邮件地址并通过自带的SMTP发送带病毒的邮件。这个特性的一个显著特点是在安装有病毒扫描的邮件服务器
2 F" _" r+ ]$ K* a- u- V1 D: E    会自动对感染的邮件回复，并把邮件退回给发送者，并产生不可发送报告。
' q4 }( e6 q! D6 a( g& E2 Y  5。后门程序ctfmon.dll打开1080, 3128, 80, 8080, 10080/TCP端口，入侵者就可以通过这些端口控制 本地系统。
  6。病毒扫描监听3127/TCP端口的机器(有可能是3127-3198端口)。
  7。病毒对www.sco.com（2月1日），www.microsoft.com（2月3日）等站点进行DDOS攻击。

解决办法：

1。对系统管理员
3 H# J6 W! }& K# _6 Z* g" V   在防火墙或路由器上限制1080, 3128, 80, 8080, 10080，3127/TCP端口数据的出入。
   对安装有防病毒系统的邮件服务器，应该禁止对明显感染病毒邮件的自动回复，至少应该把含有病毒的附件删除。
& P$ i) f' X  o# I3 ?6 I1 a2。对用户
! _. b) s% x* e0 P$ p  P$ _/ z   不要运行不明来源的程序。
   安装防病毒产品并及时更新病毒定义文件。
6 ~! f- B1 U5 D; a系统恢复：
! ]" A: M6 E  V" {- F& o) {2 o  识别病毒进程explorer.exe（注意和正常的explorer.exe进程的区分），在任务管理器中或第三方的程序杀掉病毒进程，删除病毒生成的几个文件，
恢复正常的hosts文件。
' q, q# P5 u  \5 D3 E  r) x
) x6 o3 u/ m6 [6 u# Q) c翻译并改编自http://www.us-cert.gov/cas/techalerts/TA04-028A.html
  r) B! _5 d9 f. e& n/ {& ?" o

PC机防病毒服务

8 \- m4 L9 F! b: ^1.点击下载---诺顿防病毒程序
  G% k3 A" m% l- [9 e% b( L2.运行下载到本地的诺顿防病毒端程序，进行安装。
# M4 b$ g* V+ d  q5 {3.点击LiveUpdate按钮，更新本机病毒定义库（或重新启动机器）。
& q/ C' ~" P5 X8 V" r& Y

$ F% Q+ ~7 C. E$ }Windows的Workstation服务缓冲区溢出漏洞。(2003/11/12)

) z7 \7 @4 o% k0 w; y7 Q描述：
; e" X& t  b% g" X' P  X* lWorkstation服务是Windows操作系统为本地文件系统服务、远程文件系统服务或者网络打印请求提供资源所在的位置，并决定服务请求是基于本地系统的还是网络上的其它组件。如果Workstation服务停止，则缺省所有的请求服务都是基于本地的，Workstation服务是Windows操作系统缺省启动的服务。攻击者利用此漏洞可以对系统拥有完全的控制权。

危害程度： 高

# c$ X! p/ E# Z9 D/ t4 K影响系统:
Microsoft Windows 2000 Service Pack 2, Service Pack 3, Service Pack 4
Microsoft Windows XP, Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition

9 W# U4 [* _- K* E* V' S; \/ W补丁包：
1.Windows 2000：
Windows 2000英文版
: ~# F9 r5 M6 tWindows 2000中文版
, z; y; [$ w3 {' P; n6 |
2.Windows XP：
Windows XP英文版
! G! |/ n, a7 [+ y" v7 tWindows XP中文版


4 f& t; R+ b1 N( A& t
Windows的RPCSS服务缓冲区溢出漏洞。(2003/9/12)
4 [: q3 n! p4 ^8 C
描述：
RPC是Windows 操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的 RPC协议，Microsoft在其基础上增加了自己的一些扩展。 Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题，远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。 这些漏洞是由于不正确处理畸形消息所致，漏洞实质上影响的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

危害程度： 高
影响系统:
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server? 4.0
6 b# s8 c* a7 P1 E; j8 v! ~0 TMicrosoft Windows NT Server 4.0, Terminal Server Edition
6 `: H( G5 ^* q. {; o7 r6 p3 PMicrosoft Windows 2000
& E+ v  y9 \5 dMicrosoft Windows XP
+ b5 z- R% u) A" N* YMicrosoft Windows Server 2003

不受影响的系统：
5 t. u( i$ k4 b0 `4 {Microsoft Windows 98
; a2 X$ ]$ D: m. Y# tMicrosoft Windows Millennium

补丁下载：
3 f1 a& W2 L2 B( ^: `
Windows2000中文版
) A2 B8 V. q+ _8 C: X5 g1 b' S- dWindows2000英文版
8 x. o  O, h( _* G% c8 ^# ^7 i; J: UWindowsXP中文版
WindowsXP英文版


. l9 N) c! k6 S; k% U解决W32.Welchia.Worm病毒的办法
2 v$ S9 R8 ^3 z7 o  S
4 K9 l6 O: O9 P一、最简单的清除办法：
& w* Y- R" R* }. F由于该病毒有自清除的特性，可以修改系统时间年份至2004年，并重新启动系统，病毒即可清除，然后安装漏洞补丁后再矫正系统时间。
! r& {5 i5 m2 G
9 ]8 j4 x1 }, ~3 M( x  R$ h  l$ Q二、自动清除W32.Welchia.Worm的办法：
1、下载Symantec提供的杀毒工具
$ i) W, W- [7 I( b2、如果操作系统为Windows Me/XP，建议禁用掉系统中的系统恢复（System Restore）功能。
8 o* _, J$ A# h* j) f3、运行杀毒工具。
2 c, F6 b  I2 Y- i* P4、重新启动机器。
5、再次运行杀毒工具。
, v" ?# |9 e5 L/ A& T" Z7 @6、立刻打补丁和更新病毒库。
( S5 g5 L+ S3 y" ?0 n* A7、如果在2步骤中禁用了系统恢复（System Restore）功能，请重新打开。

; U. m2 [. `1 E+ H: MSymatec提供的工具：
点击下载  Symatec Tool
补丁：
# u4 j2 J% t5 E) S! e7 H  y1.关于RPC的补丁：
6 w+ ~) e3 n) ]Windows 2000
4 q" d* f" B# {3 w2 E8 zWindows XP
2.关于WINDOWS2000系统：
windows2000_sp4
三、手动清除W32.Welchia.Worm的办法：
2 t7 H4 ~' g! y6 E- ?6 Q1、如果操作系统为Windows Me/XP，建议禁用掉系统中的系统恢复（System Restore）功能。
) q* L( s: O* L2、在任务管理器关闭Dllhost.exe进程。
3、进入注册表（“开始->运行：regedit），删除如下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
; n8 n& ^+ `' `$ g. XHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
$ o# @6 L% D; [4、检查、并删除文件:
%SYSTEM%\WINS\DLLHOST.EXE
% c; x% b) S$ G/ M5 _# Z%SYSTEM%\WINS\SVCHOST.EXE

8 {7 D7 b6 D( M7 B6 i. ?其中%System%表示（系统须是缺省安装目录）：
+ V8 g0 p. a: m1 r$ _9 X9 I1 D; WWindows 95/98/Me C:\Windows\System
- {' f( p. u& H! q  N! v2 iWindows NT/2000  C:\Winnt\System32
Windows XP   C:\Windows\System32

4 {# _5 ]6 g' ?5、重新启动机器。
& \# s# q; h/ M  z; N% Y6、立刻打补丁和更新病毒库。
" @$ \9 x; J" U. I' {7、如果禁用了系统恢复（System Restore）功能，请重新打开。
% ?6 ^6 B9 s  \
CCERT 关于 W32.Nachi.Worm 蠕虫公告。(2003/8/19)

! N9 K) \2 Q  f$ r+ S   
CCERT公告编号:2003-017

影响系统:  Windows 2000,
          Windows XP ,
          Windows 2003
9 g$ L: g) }% w" ~+ R% i. ICVE参考 :  CAN-2003-0109, CAN-2003-0352

别名：
. Q2 |3 `% A% b8 K  Y' ]    趋势科技 MSBlast.D
    F-Secure  LovSAN.D
6 D1 u0 x9 `0 D) P  Y0 O    NAI  W32/Nachi.Worm
6 }  f$ W2 h) J    Symantec  W32.Welchia.Worm
. k3 d) D, t0 V" Y" {+ Z
# b6 {; p1 }$ n) _- U8 i简单描述：
% ]3 |' T) b8 V9 {1 g9 O该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞
(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48)
和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
（漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=28）
进行传播。
如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补
$ u- Z8 V$ j5 p) a: I7 z6 @丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。
- y* l3 H% w, S" ~2 M: uICMP蠕虫感染机器后，会产生大量长度为92字节的ICMP报文，从而导致整个网络不可用。
(ICMP流量增长趋势参见附图)。

5 c& I! d- g) o: z, P6 o, B这些报文的特征如下：
1 I4 L# l7 H& V, J
xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
' \" Z+ e2 m8 W5 X( q   4500 005c 1a8d 0000 7801 85be xxxx xxxx
1 Q/ o" e, h0 w2 x( D   xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
   aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
( h5 i- f' K, H; X% O+ K   aaaa aaaa aaaa。
. [6 B/ A7 I- Y3 F' N! N
蠕虫的详细信息：

在被感染的机器上蠕虫会做以下操作：
1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe
; L; e, j. O+ B3 G
（%system%根据系统不同而不同，win2000为c:\winnt\system32,winxp为c:\windows\system32)
9 X. l) \' I+ A
+ B7 D! U" j2 N0 r2 n! @6 w2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe

3、创建RpcTftpd服务，该服务取名Network Connections Sharing，并拷贝
   Distributed Transaction Coordinator服务的描述信息给自身。
   服务的中文描述信息为：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或
   其它事务保护资源管理器
   
   创建RpcPatch服务，该服务取名WINS Client，并拷贝Computer Browser服务的描述信息给自身。
1 c% o0 H" K- n. ]$ H   服务的中文描述信息为：维护网络上计算机的最新列   表以及提供这个列表给请求的程序。
  u( J3 o1 A1 ^1 d* t* u( w
4、判断内存中是否有msblaster蠕虫的进程，如果有就杀掉，判断system32目录下有没有msblast.exe
   文件，如果有就删除。
( J4 {1 U+ o" V' V( N) S
' \5 o& u5 h! `$ q5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段，检测这些地址段中存活的主机。

( U% Q9 R# \: F. b9 O6、一旦发现存活的主机，便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。
  溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测情况
2 t2 L8 N: c* j  看，通常都是707端口。

7、建立连接后发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令，根据
1 m0 m# M! }2 X+ x  返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，就将tfptd拷
  贝到%system%\wins\svhost.exe，如果没有，就利用自己建立的tftp服务将文件传过后再拷贝。
& k5 m% K& r4 a  ?4 T& c' ^1 [
: a: g7 @" r/ p. y# Z; t1 Y7 n8、检测自身的操作系统版本号及server pack的版本号，然后到微软站点下载相应的ms03-26补丁
   并安装。如果补丁安装完成就重新启动系统。

9、监测当前的系统日期，如果是2004年，就将自身清除。


感染特征：
/ L; Y, o) @, B1 g8 M$ Z' J1、被感染机器中存在如下文件：
%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
( J/ @7 W; f3 Y8 @3 |" j%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
$ J" @3 H) V* E: \2、注册表中增加如下子项：
0 L( ?+ V* d1 U1 `0 _2 O; t* R; QHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
# l! r+ n/ k$ s0 i0 Y) t- ARpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
) k* t. z; {, N& s' i0 j- BRpcPatch
3、增加两项伪装系统服务：
& [0 O) f( }7 a2 XNetwork Connection Sharing
WINS Client
4、监听TFTP端口(69)，以及一个随机端口（常见为707）；
4 `( g# M" k& |8 ]/ ?. A5、发送大量载荷为“aa”，填充长度92字节的icmp报文，大量icmp报文导致网络不可用。
1 p9 ?$ a* V2 k2 ~6、大量对135端口的扫描；

+ \0 }/ e/ o) |
9 j# y" m) B7 W& S$ u0 v0 F* x- M- E网络控制方法：

如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞下面的协议端口:

UDP Port 69,  用于文件下载
TCP Port 135, 微软：DCOM RPC
ICMP echo request(type 8)   用于发现活动主机      
使用IDS检测，规则如下：
2 Y/ N( q4 T9 {4 s5 y( halert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";
6 g0 N* \5 o& ]$ p5 F8 ?1 y+ N$ ^content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:
# {. a) E+ G1 d7 Hhttp://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;)


被感染计算机手动删除办法：
/ J) F' \  ?- Y) ]$ k% l) V
1、停止如下两项服务（开始->程序->管理工具->服务）：
WINS Client
Network Connections Sharing

5 D" q# o/ H3 Q2、检查、并删除文件:
. P; o. d  _# S- ]/ Z5 R, C+ }% C6 N%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
0 Y) K* o& ~: l* i1 @( R  L% {$ k
6 {  A# h4 a% d3 W3. 进入注册表（“开始->运行：regedit），删除如下键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
( [1 A; n0 l2 L1 L7 MRpcPatch
* }6 B$ K3 i- M+ c
4 i3 ]/ U: B! i- s( P4. 给系统打补丁（否则很快被再次感染）
本地下载：
, [3 Q8 u1 O4 p% L$ b6 B1 n! Q4 r, xWindows 2000
) g; X. i! E4 n/ IWindows XP
MicroSoft: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
9 c* i) k0 _, V% M1 y

% R/ T+ t/ z' r% A+ O8 A( u& M  m利用Symatec提供的工具清除：
点击下载  Symatec Tool
下载后运行，然后重新启动机器，再重新运行一遍此程序以确保系统是干净的，运行完毕马上打补丁。
其他参考信息

2 x/ C1 P% D5 j! z7 A
! j# `& R' }, ~1、http://vil.nai.com/vil/content/v_100559.htm
2、http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
' ~  ^; u, s( G( G! ]( ]/ }3、http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

0 f0 b3 n6 i1 `% Q! z4 G& N6 b中国教育和科研计算机网紧急响应组（CCERT）
2003 年8月19日

  i( A1 g7 N2 F  W关于W32.Blaster.Worm蠕虫的解决办法。(2003/8/17)

$ E, I) k0 T6 r4 T3 Q   
  @8 e. E' n" i5 J5 h" B% W) p影响系统:   Windows 2000
1 m( A/ l2 j; H# X9 E) K5 x5 ]           Windows XP
           Windows 2003
CVE参考:   CAN-2003-0352
McAfee 命名为：W32/Lovsan.worm

简单描述：
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫，传播能力很强。
详细描述请参照Microsoft Security Bulletin MS03-026
, f8 Y' {) w& {' O(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
! a  s8 c4 e: a2 y8 E- |感染蠕虫可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是TCP/135,
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.
这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您
及时地得到这个漏洞的补丁。
0 f6 `4 i4 L( \

/ ]. a* m; t+ u" ^1 p- ]感染病毒计算机的特征：

    蠕虫攻击不成功可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，RPC 服务停止；
6 m7 E8 E) v1 v" C( ?, B! }    建议你重新启动计算机，立刻打补丁（下载地址见下文）；
) C5 F' Z0 C- F  f  \  
8 w- X2 I- d. x; S; s   1. 被重启动；
: K1 s& x8 T* s% G   2. 用netstat 可以看到大量tcp 135端口的扫描；
   3. 系统中出现文件： %Windir%\system32\msblast.exe
   4. 系统工作不正常，比如拷贝、粘贴功能不工作，IIS服务启动异常等；
6 l5 P8 f; W! S/ t1 @, f2 S+ i
解决办法：

   1.利用Symatec提供的工具清除：
# k- I& u1 P2 V# c      点击下载Symatec Tool，然后打以下补丁程序：
      Windows 2000补丁
6 A: {8 W4 q: n: R* n" [9 x      Windows XP
) B. E' k3 A" c$ r' q3 L6 u+ e0 T
/ R  l/ Q/ Z1 |7 F. P- h      
) Y1 y# C) C) T- f" _  2.网络控制方法(防火墙控制办法）：
+ A9 {2 Q- h7 E. B! k1 }
   如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上
阻塞TCP port 4444 , 和下面的端口:

8 g& ], S7 r. o  s/ p   4444/TCP  蠕虫开设的后门端口，用于远程控制     
   69/UDP    用于文件下载
2 p  b- w5 I0 E   135/TCP   微软：DCOM RPC
   135/UDP
  l7 r& Y) r" p7 I8 \0 L# g! I   139/TCP
1 z" }1 r, }* U- ]! Z9 g  T5 V7 k   139/UDP
   445/TCP
% ^. _8 ?' ~! C   445/UDP
   593/TCP
$ V+ g. S" i( ]. P% \, |
& \/ z" t( @' b) Z- B
  3.手动删除办法：

, e- ?1 w; Q$ D. C    1. 检查、并删除文件: %Windir%\system32\msblast.exe
    2. 打开任务管理器，停止以下进程 msblast.exe .
! v  c" s3 g/ g" s* ?6 A    3. 进入注册表（“开始->运行：regedit)

   找到键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

1 c2 G2 v- ?. Y5 _   在右边的栏目, 删除下面键值:

) j& U, m# {% H* o$ I2 b" r   "windows auto update"="msblast.exe"

   4. 给系统打补丁（否则很快被再次感染）

  本地下载：
* _* C& f! K/ `' O/ }1 k/ U      Windows 2000补丁
      Windows XP
6 E! z" |( R# W% z 安装补丁遇到的问题：
, s9 i+ V* F; ^8 R9 z- D; R   1， 如果系统为XP,系统提示安装程序不能验证update.inf文件的完整性，
       请确定加密服务正在此计算机上运行。
! |0 s) u, Q( \* l       解决方法：
( B5 A4 O6 E- }* B! c) m4 k* l         start cryption service。
9 ]+ w4 S( {8 j) ~) \$ B6 |
& M5 T" W' s3 q! v' q* U( a    2,  如果系统提示，安装补丁的语言系统和系统语言系统不一致。
7 J& v; O! T+ L       解决方法：
        安装ENU版本补丁，其原因是部分中文XP内核仍然为英文，所以安装中文版补丁会提示出错。  

    3，装完RPC补丁后机器启不来（黑屏）。
( W! d; U. m* d6 a/ i       解决方法：
         把主板上的电池拔下来放电（够长时间）
       
    4，XP系统，上网就重新启动，无法下载补丁
! ?8 j# I* @+ o8 \- |        解决方法1：       
          先进入“计算机管理”，--我的电脑->管理
            选择“服务和应用程序”，
          然后是“服务”，在右边的列表中找到“Remote Procedure Call (RPC)”，
          打开其属性对话框，在“恢复”页中将失败处理改为“不操作”。
       解决方法2：
          可以在出关机提示的时候把系统时间往后调1个小时，这样就能延长一个小时关机...
$ Q2 Z) l$ v& e2 L% y! w, v
2 U& A$ c" N# y0 c! C    5，安装了相应补丁后仍然不断地出现SVCHOST错误，或者重新启动。
       解决方案：
5 |) J: _+ h, w" p" U* b8 U  U4 K          打了补丁没起作用的一种可能是你当时显示打补丁成功，但实际
          上那几个dll未被替换成功.MS的SPn不会出现显示安装成功却实际
          未成功的事，但hotfix 会出现这种事。某些时候安装hotfix之后，
; L/ ?# S- O5 D# K1 z          显示成功，从注册表里也看到反安装信息，但实际上可能未替换文
" w. h1 N8 I$ J0 T9 E1 w          件。一般此时最好是卸载hotfix，重启动，重新安装hotfix。
+ T4 k/ G3 n+ K         
            另一个情况下，ms03-026未补完全，ms正在重新制作非紧急响应型
            的补丁，你不是被蠕虫打得重启，而是被人攻击， 就有可能打了
            ms03-026也无意义。

: r4 m+ j1 B/ q  J  x更多补丁信息请参见：   http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
8 F5 \  C6 _( a# B3 `' ^
  G7 m( \0 Z2 d: L9 qFROM: http://www.ccert.edu.cn/

煎饼

一种危害巨大的apache蠕虫正在迅速传播，敬请关注并升级您的系统。(2002/9/24更新)
      一种名为Slapper的蠕虫正在网上迅速传播，该蠕虫利用了一个以前发现的OpenSSL漏洞侵入系统，并把所有感染的主机构造一个分布式拒绝服务的攻击平台，用来攻击其它的网站。而且此蠕虫还存在某种功能性的后门。
      在现在已经出现了多种的平台上OpenSSL服务器漏洞利用程序，但是Slapper蠕虫只对在Intel架构下运行了具有OpenSSL模块（mod_ssl）Apache的Linux系统有效。蠕虫在tcp 80 端口上利用 一个无效的HTTP GET请求对那些有漏洞的系统进行扫描（GET /mod_ssl:error:HTTP-request HTTP/1.0）.
      当检测到了一台Apache系统，蠕虫将试图通过tcp 443端口将利用程序代码发送到SSL服务上。假如成功，那么恶意源代码的一份拷贝就放置到了受害服务器上了，在此服务器上攻击系统尝试去编译和运行源代码。一旦受到感染，受害服务器将派生大量子进程扫描其他的的主机，继续传播。
  ~8 Y' ~; ]1 f  o6 g-----------------------------------------
- w0 w# K" a, o5 E" {      在感染过程中，攻击主机指示新被感染的受害方对攻击者开放UDP 2002。最新发现的变种攻击端口又增加了4156、1987两个端口。一旦建立了这个通信渠道，受感染的系统就成为了蠕虫DDoS攻击网络的一部分。
4 q( u( K3 a- T! d7 O8 L. e      另外，蠕虫还包含了用于创建一个点对点的攻击网络的代码，也就是说已感染的机器可以被远程的操纵，以发动一次大范围的分布式拒绝服务（DDoS）攻击。
-----------------------------------------
检测：
1)在受感染的系统中可以看到蠕虫的进程".bugtraq"。
2)操作系统中出现以下文件。
/ ]' q1 G' O7 E
) @; u8 C6 j* I& p6 A5 G  }  ]- g原始版本 "A" ，监听端口：2002/udp
    /tmp/.uubugtraq
& S9 ^  c& c. ?# Q# |    /tmp/.bugtraq.c
7 z; C! u/ h9 s3 N. P' @" A0 l    /tmp/.bugtraq
变种 "B" ，监听端口：4156/udp，后门端口：1052/tcp
' [9 L+ O) B! N: d   /tmp/.unlock.c
   /tmp/.update.c
0 t  G# J' I! d6 v( z变种 "C" ，监听端口：1978/udp
" S7 r* M% O. P, [" n   /tmp/.cinik
5 d1 d+ [# e: ^4 p' q  /tmp/.cinik.c
  /tmp/.cinik.go
  /tmp/.cinik.goecho
  /tmp/.cinik.uu

-----------------------------------------
2 X" C/ ^. w) v+ c清除：
3) 杀死.bugtraq进程；
4) 删除上述临时文件：
5) 停止Apache服务器；
6) 为了避免重复感染,
, Z6 F- t  Z. k: ]5 D--请尽快将您的openssl版本升级到0.9.6e以上版本，
--并将您的mod_ssl升级到2.8.10版本。
$ s( x: @; ~1 ~/ X* H. I* X0 l本地下载：
openssl-engine-0.9.6g
mod_ssl-2.8.10
- r) m  V! b( r# y: k－－－－－－－－－－－－－－－－－－－－－－－－－
7) 为了防止计算机被远程控制，在防火墙或路由器上过滤UDP 2002端口的流量。
5 ?/ q0 h% S0 \( }2 H, }  x6 f) m( ?-----------------------------------------
# L' u# }1 E4 `; y' E% q: n6 `更详细的信息请参见：

http://www.f-secure.com/v-descs/slapper.shtml
' U/ w. f& h0 ]* w! @' ~
The OpenSSL security advisory is available at
2 c' C) X3 F$ U& Y4 [. e* `/ }) B3 Uhttp://www.openssl.org/news/secadv_20020730.txt

8 n9 f+ {( z# `/ f: T! P% R5 qCERT(r) advisory is available at:
http://www.cert.org/advisories/CA-2002-23.html

  B) C# d5 M0 u* e- S! R, ^Security advisories released by Linux vendors:
: t) b# E& R& e/ j& _7 C9 aDebian: http://www.debian.org/security/2002/dsa-136
Mandrake: http://www.mandrakelinux.com/en/security/2002/MDKSA-2002-046.php
" _4 Z$ V3 m  p/ `, e4 o5 YRedHat: http://rhn.redhat.com/errata/RHSA-2002-155.html
8 X  A* d% t% k6 |# k  a7 ~. zSuSE: http://www.suse.com/de/security/2002_027_openssl.html
, @: E; ^+ V, ^+ J# q. @
+ F4 M. T0 e0 t) a本文大部分内容转自 http://www.ccert.edu.cn/announce/show.php?handle=40
0 |# U0 ]* Q+ w; s! M1 A9 U
4 \; {3 B, C( k4 H

病毒Badtrans.b蠕虫(2001/11/26)
) @$ P6 a8 g' k: Y/ c一个通过邮件传播的蠕虫病毒，它是Worm.Badtrans.13312的一个变种，长度为29020。它也是利用IFRAME execcommand 漏洞，使含有该病毒的邮件在预览时自动运行病毒。手工清除Badtrans病毒的方法。
含有该病毒的邮件没有正文，附件文件名是由三部分组成：
　　第一部分：从以下词选择一个，
　　FUN
! Z, \; y1 p' F/ i　　HUMOR
, ~% v2 [& R) a5 M$ g　　DOCS
　　S3MSONG
8 X& h# z. A7 i  M) }: O& F0 m2 _　　Sorry_about_yesterday
3 R! D6 B& H: o, u' y+ P! H　　ME_NUDE
　　CARD
　　SETUP
　　SEARCHURL
　　YOU_ARE_FAT!
　　HAMSTER NEWS_DOC
; G% Z! [3 ?- S! r3 K* ~　　New_Napster_Site
　　README
　　IMAGES
1 K/ [7 @# e( W& F　　PICS
　　第二部分：从以下词中选择一个，
- v. H+ l: ]: c1 n　　.DOC.
　　.MP3.
7 F' n* p: g! C3 t( q' e7 Q$ ?　　.ZIP.
　　第三部分：从以下词中选择一个，
　　pif
　　scr

例如：病毒的附件名可能为HUMOR.MP3.pif。用户收到这样特征的邮件请马上删除。
该蠕虫病毒运行时，会将自己拷贝到windows的system目录命名为KERNEL32.EXE，并将它加到注册表HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\RunOnce中，使自己能在下次windows启动时运行。该蠕虫还会生成一个dll文件：KDLL.DLL。
Nimda蠕虫病毒的新版本！(2001/10/31)
W32.Nimda.E@mm是W32.Nimda.A@mm的一个新的版本，它包含了老版本的一些bug修复和一些改动，这些改动可以防止它被反病毒程序检测。
, C( u2 n% c& S防范Nimda蠕虫病毒
2 _  n9 F% W. X! H% i1 xNimda病毒，即尼姆达病毒，又叫概念(Concept)病毒，是一种通过网络传播的计算机病毒，它能利用多种传播途径对几乎所有Windows系统操作系统(包括Windows95/98/ME,NT和2000等)发动攻击。而且染毒的机器会自动向其他机器发动攻击和发送带毒的email，并造成网络堵塞。
+ i8 u/ ~1 o0 c+ ~8 i1 w防范IIS红色蠕虫病毒CodeRed
红色蠕虫病毒利用微软web服务器IIS 4.0或5.0中index服务的安全缺陷，攻破目的机器，并通过自动扫描感染方式传播蠕虫。由于很多Windows NT系统和Windows 2000系统都缺省提供Web服务，因此该蠕虫的传播速度极快，大大地加重网络的通信负担,常常造成网络瘫痪。
谨防 Sircam 蠕虫病毒泄密
  I& j- f, D9 |- c3 k# S( O. U感染Sircam 病毒的系统从“我的文档”中，选择一个DOC、XLS或ZIP文件，然后把这些文件向地址簿和INTERNET缓存中能找到的所有邮箱地址发送。 Sircam 通过邮件和文件共享传播，让你所有的应用程序都无法执行，10月16日可能会删除你所有的文件。
8 _# N# _' w3 [9 a/ l, F+ x& d4 e