Virus 版 (精华区)
发信人: ctt (ctt), 信区: Virus
标 题: [转载] 系列病毒应急处理报告(转载)
发信站: 哈工大紫丁香 (Fri May 7 20:56:28 2004), 站内信件
【 以下文字转载自 Hacker 讨论区 】
【 原文由 ctt 所发表 】
系列病毒应急处理报告
(版本V1.3 2004年5月7日上午11:30点第十次更新)
哈工大-安天联合CERT小组
情况说明:
2004年4月下旬起,哈工大-安天联合CERT小组,通过双方联合开发的VDS系统发现网络上目
标端口为139、445、3127等扫描开始增多,由于该扫描端口与此前Backdoor.Agobot(这是
一种蠕虫,但因历史沿革关系,沿用其早期版本命名)在2月出现的某几个变种扫描端口相
同,但内容有所差异,初步判定为Agobot的变种。在此后时间内,联合CERT捕获了Agobot
.rr 等多个新变种有如下特性,但以.rr危害为严重。至4月25日之后,陆续对一些企业网
和地方电信服务商产生严重的影响,甚至造成瘫痪。
2004年5月1日,VDS系统显示针对445端口的扫描和一个exploit报警急剧增加,分析为新蠕
虫。并通过honeypot捕获了样本。该蠕虫名为Worm.Win32.Sasser,中文俗名为“震荡波”
。
2004年5月2日,联合CERT捕获了该蠕虫的两个变种。5月2日下午,CERT发现有邮件病毒冒
充Sasser等流行病毒的专杀工具发送,经分析,该病毒为netsky(中文俗名为网络天空)
邮件蠕虫的.ad变种。
5月3日,联合CERT又通过honeypot系统捕获了Sasser.d变种。
5月5日,联合CERT收到由国外某病毒组织制作的针对微软SSL漏洞进行传播的体制验证蠕虫
,经验证目前尚未在网上传播。
鉴于Sasser等病毒对网络资源和用户系统的严重影响以及可能的进一步影响,特编制此应
急处理和防范报告。
病毒资料
Antiy Labs ASTS病毒卡片
病毒名:
Worm.Win32.Sasser.a
病毒类型
通过漏洞传播的文件型蠕虫
主文件位置、文件名:
%Windir%\avserve.exe*
主程序大小
15872byte
注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve.exe
病毒主要特点
通过微软lsass服务()
漏洞实现主动传输,主动运行,无文件感染能力,通过对注册表修改实现开机自动运行。
变种特性:
*该病毒还在%windir%system32目录下生成名为????_up.exe的文件,作为远程投放使用。
这个文件就是病毒自身的copy,但并不在本机被运行。
病毒名:
Worm.Win32.Sasser.b
病毒类型
文件型蠕虫,通过漏洞主动传播,主动运行,无文件感染能力
主文件位置、文件名:
%Windir%\avserve2.exe*
主程序大小
15872byte
注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve2.exe
病毒主要特点
同A
变种特性
除了互斥量名称、主文件名称和注册表主键调整之外,与A几乎没有区别。
病毒名:
Worm.Win32.Sasser.c
病毒类型
文件型蠕虫,通过漏洞主动传播,主动运行,无文件感染能力
主文件位置、文件名:
%Windir%\avserve2.exe
主程序大小
15872byte
注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"avserve.exe" = C:\WINDOWS\avserve.exe
病毒主要特点
同A
变种特性
主要是将扫描线程数从128个调整为1024个,以增强传播能力。另外互斥量有所变化
病毒名:
Worm.Win32.Sasser.d
病毒类型
文件型蠕虫,通过漏洞主动传播,主动运行,无文件感染能力
主文件位置、文件名:
%Windir%\avserve.exe
主程序大小
16384byte
注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run
"skynetave" = %WinDir%\skynetave.exe
病毒主要特点
该变种是一个不成功的变种,在多数2000系统下不能正常运行。
病毒名:
Backdoor.Agobot.Based
病毒类型
文件型蠕虫,有数十个变种,通过多个漏洞和口令破解等方式主动传播,主动运行,无文
件感染能力
主文件位置、文件名:
(Agobot.rr) %system%\ msiwin84.exe或Microsoft.exe
(Agobot.rq)%system%\wmiprvsw.exe
变种过多,无法一一陈列
主程序大小
Agobot.rr ,15872byte
Agobot.rq,332800byte
注册表主键:
Agobot.rr
位置为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
或
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
名称为
"Microsoft Update"="msiwin84.exe"
或
"Microsoft Update"="Microsoft.exe"
Agobot.rq
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"System Updater Service=wmiprvsw.exe"
病毒主要特点
Agobot在4月特别是4月底,变种极多,其中rr,rq都是Agobot家族中一个危害比较严重的
变种,通过多个已知的漏洞进行传播,并可以进行口令破解。其可以中止大量反病毒软件
的运行,并通过修改hosts文件,使系统无法登陆反病毒公司网站。
病毒名:
I-Worm.Netsky.ad
病毒类型
电子邮件蠕虫
主文件位置、文件名:
%Windir%\msiwin84.exe或Microsoft.exe
主程序大小
18432 byte(主程序)
36864byte(邮件附件文件)
注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"wserver"="%Windir%\wserver.exe"
病毒主要特点
这是Netsky家族的第30个变种,其主要的特点就是使用了非常特殊的社交工程手段,伪装
成病毒专杀工具发送。他利用了正在流行的Sasser等病毒造成的恐慌,同时,该蠕虫附件
使用了注册表文件扩展名cpl。
病毒名:
Worm.Win32. SSL
病毒类型
文件型蠕虫,通过漏洞主动传播,主动运行,无文件感染能力
主文件位置、文件名:
%Windir%\worm.exe
主程序大小
1107016byte(rar sfx自解压文件)
注册表主键:
不修改注册表
病毒主要特点
一个通过MS SSL漏洞传播的验证蠕虫,通过rar自解压包包括了扫描器、exploit程序、t
ftp服务程序。再扫描获得地之后,通过相关漏洞的exploit造成目标溢出,并建立一个反
向连接,将整个蠕虫进行传输。
蠕虫的发现
1、网络管理员、安全员
识别Sasser病毒。
网络上可以监控到针对大量目标端口445的扫描,可能为Sasser病毒,
识别Backdoor.Agobot.变种病毒
网络上可以监控到针对大量目标端口为80、135、139、1025、445、2745、3127、6129等端
口的扫描。
哈工大与安天联合研制的VDS系统,可以对这些病毒进行网络检测和定位。
2、单机用户
通过系统上的反病毒软件升级到最新病毒库,进行病毒检测。
通过病毒卡片中,病毒的所在的目录和注册表主键,判断是否有上述病毒存在。
用户可以采用以下命令,工具协助检测。
通过Netstat命令发现系统是否打开大量的端口,
判断病毒程序,通过Antiy Port(图形界面工具)或者Aproman(字符界面工具)发现如果
有程序打开大量的端口,则该程序可能是本病毒或者其他的扫描型蠕虫。
Antiy Port下载地址:
http://www.antiy.com/resource/freetools/AntiyPorts.exe
Aproman下载地址:
http://www.antiy.com/resource/freetools/AProMan.exe
3、识别netsky.ad蠕虫邮件
邮件名:Escalation。
正文如图所表示:但病毒名字,反病毒公司邮件地址等,会有所变化
另外注意,除非用户联系,任何反病毒企业、包括操作系统企业,不会直接给用户发送可
执行程序。
应急处理方案
企业用户、电信用户,如无业务需要,可以考虑屏蔽以下端口135,139,445,1025,3127
,6129。
另外,联合CERT接到多个企业事业单位告警,全部国外地址无法访问,经过我们积极查询
了解,这些单位的IP地址,基本为被境外屏蔽,估计为病毒攻击流量过大,遭到境外屏蔽
,出现此现象的单位应该积极进行查杀病毒处理。
单机用户,请先通过单机防火墙设置屏蔽上述端口,之后在上网进行windows Update。
目前,各主流反病毒厂商产品的最新病毒库都可以查杀该病毒。
附:安天Antiy Ghostbusters
安天公司集成安全产品Antiy Ghostbusters提供了集成化的安全保护方案,提供了蠕虫木
马查杀+安全配置诊断工具+单机防火墙的集成解决方案。AGB3中文版和AGB4英文版软件始
终为用户提供者无限期试用版本,病毒库可升级,防火墙功能不受限制。
Antiy Ghostbusters下载地址如下
AGB 4英文标准版
http://www.antiy.net/download/agb4s.exe
AGB 4英文标准版
http://www.antiy.net/download/agb4p.exe
AGB 4英文高级版
http://www.antiy.net/download/agb4a.exe
AGB3中文版
http://www.antiy.com/ghostbusters /cnagb3.zip
AGB3 病毒库下载
(3.x版本除病毒库外,已经不提供任何程序升级,4.0病毒库每48小时至少升级一次,3.x
版本由于未包含增量升级功能,病毒库升级周期较长,但可以手工下载病毒库包进行覆盖
)
http://www.antiy.com/update/agb3/agb3_update.zip
为了让用户能迅速清除系统内的病毒,尽快清除病毒,降低这些蠕虫带来的威胁。
安天为用户提供
AGB3.0 中文版全功能、无期限注册文件下载
http://www.antiy.net/ghostbusters/key/cnlse.alf
AGB 4.0英文版全功能,30天有效注册文件下载:
http://www.antiy.net/ghostbusters/key/certlse.alf
注册文件到期后,不影响病毒库的升级功能与防火墙的使用,只是变回查毒版本。
针对已经安装AGB4的用户,可以通过修改防火墙规则来预防攻击,我们同时提供了修改后
的防火墙规则库,用户下载后拷贝到AGB4安装目录覆盖原文件,可以预防Backdoor.Agobo
t、Sasser等蠕虫攻击。
注意:屏蔽系统端口(139/445)可能会影响用户对这些服务的正常使用,所以如果您确认
使用这些端口的服务,请及时升级系统补丁,按照自身情况修改防火墙规则。
防火墙规则库下载地址:
http://www.antiy.com/update/firewall/firewall.dat
按照我们4月29日预警报告中升级的用户不会遭受Worm.Win32.Sasser影响,我们强烈建议
所有未升级用户及时升级补丁,下面是简体中文系统补丁下载地址:
Winnt Workstation:
http://download.microsoft.com/download/8/8/3/8839e8d0-c431-463e-b182-920bc0605
733/WindowsNT4Workstation-KB835732-x86-CHS.EXE
Winnt Server:
http://download.microsoft.com/download/7/4/0/74078006-abaf-49f4-91e8-25909b23a
fd3/WindowsNT4Server-KB835732-x86-CHS.EXE
Windows 2000:
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7
fb2/Windows2000-KB835732-x86-CHS.EXE
Windows XP:
http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-8619-40319436a
26d/WindowsXP-KB835732-x86-CHS.EXE
Windows 2003:
http://download.microsoft.com/download/4/e/3/4e3083d3-fb8b-4e57-9c9d-7e9f1af19
0fa/WindowsServer2003-KB835732-x86-CHS.EXE
对于AGB 4.0无法查出的蠕虫和木马,请发送到
submit@virusview.net
我们在24小时内给您提供支持。
--
※ 来源:.哈工大紫丁香 bbs.hit.edu.cn [FROM: 202.118.246.241]
--
※ 来源:.哈工大紫丁香 bbs.hit.edu.cn [FROM: 202.118.246.241]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.695毫秒