病毒知识之对未知蠕虫的分析与解决方案

2008-02-23 07:20:23来源：互联网阅读 ()

一、病毒特征：
样本名称： fwupdat.exe. 、configure.exe 、sslms.exe
样本大小： 213 KB (218,624 字节)、257 KB (263,168 字节)、259 KB (265,216 字节)
病毒类型：蠕虫/后门
二、病毒描述：
集合IRC后门、蠕虫功能于一体的，通过网络共享和操作系统漏洞（MS03-026、MS02-061、MS03-007、MS04-011等）进行传播的病毒。

病毒会尝试通过弱密码登陆目标系统。病毒运行后把自己加载到注册表启动项，以使自己下次开机能够继续运行。病毒还会在感染的电脑上打

开后门接收攻击者发出的指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带

宽资源，容易造成局域网阻塞。它通过IRC服务器接受攻击者发出的指令，例如安装/卸载后门、下载并运行文件、结束进程、运行代理服务器

、盗取流行游戏的帐号、对指定的IP进行DDoS（拒绝服务）攻击等。
目前已经有多个变种。修改多处注册表键，用以关闭杀毒软件、防火墙降低系统安全性。
三、行为分析：
1、蠕虫运行后复制自身到
%system32%\ fwupdat.exe (变种名为：configure.exe 、sslms.exe)

2、在C盘根目录下生成 a.bat 批处理文件，其功能是将需要修改的注册表键值ECHO重定向到 Temp\1.reg 并使用指令 START /WAIT

REGEDIT /S %temp%\1.reg 将要修改的注册表内容静悄悄地导入注册表中。
（注：相关的 a.bat 内容保存为 a.bat.txt ）

3、将自身加载到注册表自启动项中，实现开机自动运行蠕虫。
Software\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows\CurrentVersion\RunServices
Software\Microsoft\OLE
SYSTEM\CurrentControlSet\Control\Lsa

4、尝试弱口令扫描登录目标主机；（弱口令列表，请参看附件1）
5、扫描系统，终止杀毒软件、防火墙进程；（进程列表，参看附件2）

6、使用findpass获取WinLogon.exe进程空间中的管理员帐号（该方式适用于Win2000/XP系统）

7、连接到一个IRC服务器，等待恶意者的连接并接受控制，命令说明如下:
IRC指令如下：
JOIN %s %s 创建或加入闲聊室
NICK //更改别名
PART // 指名退出闲聊室的原因
QUIT // 退出
对目标主机的操作：
下载文件
发起拒绝服务(DDOS)攻击
执行基本的IRC命令
执行系统扫描

8、修改多处注册表键，用于关闭微软防火墙及自动更新功能，以降低系统安全性。（注释详见附件3）

9、发去DDOS拒绝服务攻击；如 Syn flood、Wonk flood、UDP flood、Ping flood（参见附件4截图）

10、监听键盘事件，捕获帐号密码信息；

四、解决方案：

虽然用户电脑上安装了诺顿杀毒软件，但仍然遭受到蠕虫的攻击，而且在这个过程中，不仅清除不掉，还防不住！

　　全面的个人电脑病毒解决方案包括了抗病毒和杀病毒两方面。抗病毒属于防病毒中预防、免疫方面的范畴；杀毒软件是属于事后病毒查杀工具，目前市场上所有杀毒软件的技术都是大同小异的，无非在病毒特征库的更新速度和数量多少及病毒查杀引擎性能上的区别。用户频繁更换杀毒软件也是无济于事的。因为新病毒出现太快，老病毒变化多端，黑客及流氓软件又来凑热闹，当然只安装杀毒软件是有一点势单力薄，所以需要增强电脑的抗病毒能力，具有事前免疫和对抗病毒的功能。

为什么越来越多的人们在安装杀毒软件的同时也安装了防火墙？原因是什么？就是因为杀毒软件不具备抗病毒能力。而“防火墙”

在这个安全体系中充当着防范攻击，防止入侵的功能。其本质也是属于抗病毒功能中“防范黑客入侵、避免系统遭到漏洞攻击“的一部分。

目前电脑中安装都是杀毒软件，抗病毒能力都很弱。终截者抗病毒软件的主要作用是：增强电脑对病毒的抵抗力，抗击黑客入侵和流

氓软件干扰。
先清除后巩固：
1、使用 Terminator Lab样本的专杀工具清除；
2、使用“终截者抗病毒软件”中的安全回归，使系统迅速回归到标准的符合系统安全的状态；
3、使用“安全分析专家”自带的“进程管理”、“自启动”管理，将上述特征的蠕虫清除。
4、配制防火墙策略，拦截异常网络连接、拦截蠕虫缓冲区溢出。