|
 | 作者: bridex [bridex]
 论坛用户 |
登录 |
| 蠕虫病毒Mydoom.B分析报告 蠕虫名称:Mydoom.B [F-Secure], W32.Mydoom.B@mm[Symantec],W32/Mydoom.b@MM [McAfee], WORM_MYDOOM.B [Trend], Win32.Mydoom.B [Computer Associates], I-Worm.Mydoom.b [Kaspersky], W32/MyDoom-B [Sophos] 蠕虫发现日期:2004年1月28日 蠕虫长度:29,184字节 影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 蠕虫概述: ------------------- 2004年1月28日,一个新的Mydoom蠕虫变种Mydoom.B开始传播。Mydoom.B对www.sco.com 和 www.microsoft.com两个网站进行DDOS攻击,并且阻止被感染机器访问一些著名反病毒厂商的网站。 蠕虫技术细节描述: -------------------------- 该蠕虫运行后首先寻找Mydoom.A,,找到后则终止Mydoom.A蠕虫体进程的运行并且删除"shimgapi.dll"文件。 1. 生成下列文件: %sysdir%\explorer.exe %sysdir%\ctfmon.dll ctfmon.dll是该蠕虫的后门组件,蠕虫通过注册表中的 [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]加载ctfmon.dll。 2. 在注册表中增加键值: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" = %sysdir%\explorer.exe 如果失败,则添加至: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" = %sysdir%\explorer.exe [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] "(Default)" = %SysDir%\ctfmon.dll 3. 通过对等文件分享软件进行传播 该变种把蠕虫体拷贝到Kazaa下载目录中,可能的文件名为: NessusScan_pro attackXP-1.26 winamp5 MS04-01_hotfix zapSetup_40_148 BlackIce_Firewall_Enterpriseactivation_crack xsharez_scanner icq2004-final 可能的扩展名为: .bat .exe .scr .pif 4. 蠕虫以自身的邮件引擎发送蠕虫体 (1)发送邮件地址的获得 该蠕虫从Windows的地址簿以及一些特定类型文件中收集邮件地址,并以自身的邮件引擎向它们发送蠕虫体,同时它也避免向一些有特定邮件帐户名的地址发送。 a. 从如下扩展名文件中搜寻邮件地址: wab pl adb dbx asp php sht htm txt b. 一旦选择了一个邮件地址来发送自身后,该蠕虫也将向该邮件地址同一域名的如下帐户发送自身: john maria dan brent alex jim dave alice michael brian matt anna james serg steve brenda mike mary smith claudia kevin ray stan debby david tom bill helen george peter bob jerry sam robert jack jimmy andrew bob fred julie jose jane ted linda leo joe adam sandra c. 避免发送的邮件地址帐户名: root nothing site not info anyone contact submit samples someone soft feste support your no ca postmaster you somebody gold-certs webmaster me privacy the.bat noone bugs service page nobody rating help (2)蠕虫发送的带毒电子邮件格式 a. 邮件主题:(下列之一) Status hi Delivery Error Mail Delivery System hello Error Server Report Returned mail b. 邮件正文:(下列之一) The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. Mail transaction failed. Partial message is available. c. 邮件附件文件名:(下列之一) document readme doc text file data message body d. 邮件附件扩展名 邮件附件可能有一个或两个文件扩展名,如果它有两个扩展名,则第一个是:(下列之一) .htm .txt .doc 第二个扩展名,或者如果只有一个扩展名,则是:(下列之一) .pif .scr .exe .cmd .bat e. 邮件附件所用图标使得它看起来是一个文本文件 5. 期限 该蠕虫将在2004年3月1日后停止运行,但是后门程序还将继续运行。 6. 后门 该蠕虫有能力发送自身到已经感染Mydoom.A的主机上。它首先对随机生成的IP地址列表进行扫描以便发现已被Mydoom.A感染的主机,之后尝试连接TCP 3127端口(Mydoom.A所留后门利用的端口),如果连接成功则传送自身并立即执行,从而不需要用户通过邮件接收新蠕虫体就可更新被感染蠕虫为新的版本。 此外,该蠕虫通过调用函数gethostbyname()获知被感染主机的主机名,解析其IP地址并扫描寻找同一网段内感染Mydoom.A蠕虫的其他主机。 该蠕虫与Mydoom.A一样也留有后门组件(ctfmon.dll),该组件在被感染的系统中打开端口1080以接受来自远程用户的访问。它也可能利用3128,80,8080,10080等端口。 7. DDOS攻击 该蠕虫分别于2004年2月3日和2004年2月1日对www.microsoft.com网站和 www.sco.com 网站进行DDOS攻击。 该蠕虫在DDOS攻击时如果无法成功解析www.sco.com,则等待65秒后重新尝试,如果无法成功解析www.microsoft.com,则等待16秒后重新尝试。 8. 阻止被感染主机访问反病毒网站 该蠕虫通过改写被感染主机的hosts file,强制被感染主机将一些著名反病毒公司及其他一些商业站点的网址解析成0.0.0.0的IP地址,从而使得该主机无法访问这些站点。改写后的hosts file文件内容如下: 0.0.0.0 engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net 0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com 0.0.0.0 media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net 0.0.0.0 ads.fastclick.net banner.fastclick.net banners.fastclick.net 0.0.0.0 www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com 0.0.0.0 ftp.f-secure.com securityresponse.symantec.com 0.0.0.0 www.symantec.com symantec.com service1.symantec.com 0.0.0.0 liveupdate.symantec.com update.symantec.com updates.symantec.com 0.0.0.0 support.microsoft.com downloads.microsoft.com 0.0.0.0 download.microsoft.com windowsupdate.microsoft.com 0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com 0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com 0.0.0.0 networkassociates.com avp.ru www.avp.ru www.kaspersky.ru 0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com 0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com 0.0.0.0 download.mcafee.com mast.mcafee.com www.trendmicro.com 0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com 0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net 在攻击微软网站的时间到来之前还添加了0.0.0.0 www.microsoft.com,这使得感染主机无法访问微软站点。2月3日之后,该行被删除,从而保证DDOS攻击可以进行。如果DDOS攻击成功,会导致所有用户很难访问该网站。 改动hosts file主要的目的是使得用户不能通过下载更新最广泛使用的反病毒产品来清除该蠕虫。 手工清除该蠕虫的相关操作: -------------------------- 1. 删除下列注册表键值 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer] [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] 2. 删除蠕虫释放的文件 %SysDir%\explorer.exe %SysDir%\ctfmon.dll 3. 还原hosts file 删除hosts file中所有本蠕虫所添加的部分,它们旨在阻塞对反病毒厂商和其他商业网站的正常访问。  计算机病毒是被弯曲的黑客技术,那不是真正的技术! |
| 地主 发表时间: 04-02-25 15:19 |
 | 回复: hkcc [hkcc]  论坛用户 |
登录 |
|
说的号,顶你 |
| B1层 发表时间: 04-03-09 01:53 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: [转帖]蠕虫病毒Mydoom.B分析报告