Virus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: B级蠕虫事态分析报告
发信站: 哈工大紫丁香 (Tue Jun 10 20:32:42 2003)


哈工大——安天联合Cert小组 

 蠕虫事态分析报告
Worm.Win32.Mofeir

(2003-06-09-B Ver8.1) 

首次发布时间：2003-06-09 23:20 

最近更新时间：2003-06-10 19：11 

第6次对外更新

基本情况说明

（特感谢各兄弟安全公司和网站转载本站资料，欢迎继续转载但请注明出处）

   2003年6月5日-8日，哈工大--安天联合CERT小组，通过自行开发的P-A监控预警平台陆
续截获发一些异常通讯：

　

   在第一批次锁定了若干问题主机后，经过反向检测，初步发现发包机器有如下共性：


1、系统为Windows 系统（2K系统居多）。

2、系统超级用户管理员密码为空。

   我们及时与多台目标主机管理人员联系，进行了系统取证。

 

初步检测结果如下：

   发现若干异常文件和异常注册表键值：

    当前态势：目前该蠕虫已经在黑龙江省内一些内网流行，目前已经发现第2个变种。


　

二、分析报告：

系统分析*可能的异常文件列表（变种B）：

文件名 可能出现的目录 长度 说明 
scardsvr32.exe %windir%\system32(NT/2K)
%windir%\system(9x)  38,874 主文件 
scardsvr32.dll 同上  20,480 动态连接库 
MoFei.DAT 同上 - 扫描日志 
MoFei.MIS 同上 - 操作脚本 
MoFei.VER 同上 0 　 
MoFei.ID 同上 - 可能为签名 

该蠕虫住程序和动态连接库，采用upx压缩。



　

系统分析*可能的注册表修改：

Win2k

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv]
ImagePath = %SystemRoot%\system32\ScardSvr.exe 
ErrorControl = dword:00000000
Start = dword:00000003
Type =dword: 00000020

Win9x

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
SCardSvr  =  %Windows%\System32\SCardSvr.Exe


　

　

系统分析*基本机理：

该蠕虫感染后将进行网络扫描，并首先采用如下密码档基于一个用户列表穷举远端用户的
密码：
空
stgzs
security
super
oracle
secret
root
admin
password
passwd
pass
88888888
888888
00000000
000000
111
11111
111111
111
fan@ing*
54321
654321
12345678
1234567
123456
12345
1234
123
12
密码破解成功后，将自身copy到远端系统的system32目录下，并通过admin$执行。
该蠕虫的最终目的是为了给系统添加后门，该蠕虫将向系统添加一个名为tsinternetuser
的用户（在Windows Server 系统上这时超级终端服务的内建用户）并将用户口令设置为*
*****[此处作了屏蔽]，并将该用户添加到管理员组。
该病毒提供了远端控制命令，并可以执行“批处理文件”，MoFei.MIS就是这样的文件。


该病毒具有自我更新能力。

　

用户处理*手工处理


NT/2K用户应该首先为Administrator设置一个强壮的密码，（至少不能在蠕虫的密码档中
），之后采用Antiy ghostbusters的进程服务管理功能

首先中止%windir%system32/scardsvr32.exe对应的进程和服务，之后删除掉“系统分析*
文件列表”中的所有对应所有文件，最后重新启动机器。

用户处理*专杀工具

即使采用专杀工具，也需要首先为Administrator设置一个强壮的密码。否则再次被其他感
染节点扫描时，仍然会被感染。

哈工大——安天联合Cert小组将于2小时内发布免费专杀工具1.001版，


网络管理对策：

网管可以在路由或者防火墙上，双向关闭445/139/135等端口，以临时避免内网被感染，或
者内网感染的主机对外传播。

　


进一步响应消息：
我小组将继续关注态势进展，进一步维护升级报告。

　

安天实验室已经在北京时间2003年6月10日20点更新Antiy Ghostbusters病毒库升级文件包
，支持查杀目前所有版本的该蠕虫。

http://www.antiy.net/ghostbusters/agb_base.msp

用户可以直接下载，或者通过Antiy Live在线升级。

所有Antiy Ghostbusters捉鬼队用户，可以下载此单独库文件

http://www.antiy.com/update/ex.gbl

（默认路径为：C:\Program Files\Antiy Labs\Antiy Ghostbusters）覆盖同名病毒库文
件，就可以检测此蠕虫。

结合专杀工具，能够取得更好效果。


--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 )|)             ●   |江海客      seak@163.net
\-----/               |之天涯看台  seak.163.net
ぺべぺべぺべぺ                             
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 202.118.246.234]