Virus 版 (精华区)

发信人: Kernel (Kermit), 信区: Virus
标  题: 混合蠕虫(Worm.ForBot.a)技术分析报告
发信站: BBS 哈工大紫丁香站 (Sun Jun 13 10:02:32 2004)

　　金山毒霸于6月11日截获一个利用多种漏洞以及弱密码攻击的方式进行传播的蠕虫病毒
。并开当日紧急升级了病毒库。升级毒霸到最新，可完全处理该病毒。

　　病毒信息：

　　病毒名称: Worm.ForBot.a
　　中文名称:混合蠕虫
　　威胁级别:3A
　　病毒别名:
　　Backdoor.ForBot.a[AVP]
　　Worm.ForBot.a [瑞星]
　　病毒类型:后门，蠕虫
　　受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　破坏方式： 
 

　　 该病毒利用最近几个微软最严重的漏洞进行快速传播，其它LSASS漏洞、RPC漏洞最为
严重。病毒进入系统后会开启后门、中止大量安全软件，并偷取大量正版游戏的序列号，
给用户造成一定的经济损失。病毒还会使用IPC共享、P2P等共享软件来传播自己。

 
 

　　技术特点： 
 

A、在系统安装目录下生成如下文件,并将病毒前一个运行文件删除：
%System%\smsc.exe
并运行这个新生成的文件

B、添加注册表键值
1、在注册表主键：
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\RunServices\
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
下添加如下键值：
"Win32 USB 2 Driver" = "smsc.exe" 

C、创建一个名为"Win32 USB 2 Driver"服务

 
 

　　发作现象：（点击查看详情） 
 

A、对下列网站进行DoS攻击
www.schlund.net
www.utwente.nl
verio.fr
www.1und1.de
www.switch.ch
www.belwue.de
de.yahoo.com
www.xo.net
www.stanford.edu
www.verio.com
www.nocster.com
www.rit.edu
www.cogentco.com
www.burst.net
nitro.ucsc.edu
www.level3.com
www.above.net
www.lib.nthu.edu.tw
www.st.lib.keio.ac.jp
www.d1asia.com
www.nifty.com
yahoo.co.jp

B、DOS攻击利用以下技术
HTTP FLOOD
UPD FLOOD
PINF FLOOD
SYN FLOOD


C、通过IRC进行传播，控制感染机器

D、利用多种微软漏洞进行传播。

MS04-011（LSASS漏洞）
MS03-026（RPC/DCOM漏洞）
MS03-001（RPC Locator 漏洞）
MS03-007（IIS/WebDAV 漏洞）


E、盗取正版游戏CD-Key 
Battlefield 1942 
Black and White
Command and Conquer
Counter-Strike 
FIFA 2002
FIFA 2003
Global Operations
Gunman Chronicles
Half-Life
Hidden and Dangerous 2
IGI2 Covert Strike 
Industry Giant 2 
James Bond 007 Nightfire 
Medal of Honor Allied Assault 
Medal of Honor Allied Assault Breakthrough 
Medal of Honor Allied Assault Spearhead 
Nascar Racing 2002 
Nascar Racing 2003 
NHL 2002 
NHL 2003 
Need For Speed Hot Pursuit 2 
Need For Speed Underground 
Neverwinter Nights 
Ravenshield 
Shogun Total War Warlord Edition 
Soldiers Of Anarchy 
Soldier Of Fortune 2 
The Gladiators 
Unreal Tournament 2003

F、会对关闭多种安全软件的进程
ACKWIN32.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
ALERTSVC.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVWIN95.EXE
AVWINNT.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
AckWin32.EXE
AutoTrace.EXE
AvSynMgr.AVSYNMGR.EXE
AvgServ.EXE
Avgctrl.EXE
AvkServ.EXE
Avsched32.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
BLACKD.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
BlackICE.EXE
CDP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95CF.EXE
CLEAN.EXE
CLEANER.EXE
CLEANER3.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CTRL.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
Claw95.EXE
Claw95cf.EXE
DEFWATCH.EXE
DEPUTY.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEB32.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
ENT.EXE
ESAFE.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FAST.EXE
FINDVIRU.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FPROT.EXE
FRW.EXE
FSAV.EXE
FSAV530STBYB.EXE
等等。

 
 

　　解决方案:

　　· 请使用金山毒霸2004年06月11日的病毒库可完全处理该病毒；

　　· 请立即打上系统补丁，并关闭系统中不必要的共享和设置管理密码更强状。

　　· 在使用P2P软件下载程序时，请通过反病毒软件检测后再使用。

　　· 手工解决方案：
　　 
　　如果系统为WinMe或WinXP，则请先关闭系统还原功能。
　　（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原
”功能）

　 对于系统是Win9x/WinMe:

　 步骤一，步骤一，删除病毒主程序
　 请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
C:\windows），分别输入以下命令，以便删除病毒程序：
　 C:\windows\>cd system
　 C:\windows\system\del smsc.exe 
　 完毕后，取出系统软盘，重新引导到Windows系统。
　 如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　 步骤二，清除病毒在注册表里添加的项
　 1、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
　 找到并删除如下项目：
　 "Win32 USB 2 Driver" = "smsc.exe"

　 2、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices\
　 找到并删除如下项目：
　 "Win32 USB 2 Driver" = "smsc.exe"

　 3、打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
　 找到并删除如下项目：
　 "Win32 USB 2 Driver" = "smsc.exe"
　 关闭注册表编辑器.

对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever

　 步骤一，使用进程序管里器结束病毒进程
　 右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口
。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“smsc.exe”，单击“
结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　 步骤二，查找并删除病毒程序
　 通过“我的电脑”或“资源管理器”进入系统目录(Winnt\system32或windows\system
32)，找到文件"smsc.exe", 将其删除；

　 步骤三，清除病毒在注册表里添加的项
　 参考Win9x/WinMe

将微软的补丁升级完全
　 依次打开，开始菜单→程序→Windows Update；进行系统升级。
不要下载或打开不知来源的文件。

 


　　专家提醒:

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升
级中，请多关注金山毒霸安全咨询网（www.duba.net）上的最新病毒公告，或者订阅金山
毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
duba.net已经推出“在线病毒日历”，及时为您播报近期危险病毒,敬请关注；
如没有安装金山毒霸，可以登录http://online.kingsoft.net使用金山毒霸在线杀毒或是
金山毒霸下载版来防止该病毒的入侵；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只
要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执
行程序，注意病毒程序伪装的图标，不要轻信图标为“电子表格、文本文件、文件夹”的
附件；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。


※ 来源:·哈工大紫丁香 http://bbs.hit.edu.cn·[FROM: 219.82.96.128]