| Novarg/Mydoom蠕虫及其变种分析报告 |
|
| |
|
FONT id=font_word style="FONT-SIZE: 14px; FONT-FAMILY: 宋体, Verdana, Arial, Helvetica, sans-serif"> Nsfocus安全小组(security@nsfocus.com)
http://www.nsfocus.com
Novarg/Mydoom蠕虫及其变种分析报告
发布日期:2004-02-05
受影响的软件及系统:
====================
Microsoft Windows Server 2003
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows NT 4.0
Microsoft Windows ME
Microsoft Windows 98
Microsoft Windows 95
综述:
======
Novarg/Mydoom蠕虫是2004.1.28开始传入我国的一个通过邮件传播的蠕虫。该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。除了传播自身之外,蠕虫还会对某些网站进行拒绝服务攻击。在传播和攻击过程中,会占用大量系统资源,导致系统运行变慢。蠕虫还会在系统上留下后门,通过该后门,入侵者可以完全控制被感染的主机。该蠕虫目前有两个变种:Mydoom.a和Mydoom.b。由于蠕虫的传播速度极快,所以目前已经在我国大范围流行。
如何判断自己受到感染:
=====================
如果您在最近一段时间,运行过类似上面描述的可疑邮件中的附件,并且觉得系统运行变慢,特别是打开网页、收取邮件等操作速度明显减慢,就需要检查一下,是否是被该蠕虫感染。
首先点击“开始”-->“运行”,如果您的操作系统是Windows ME、Windows 98或者Windows 95,在里面输入“command”,如果您的操作系统是Windows 2003、Windows XP、Windows 2000、Windows NT,在里面输入“cmd”。这样就会出现一个命令提示符。
然后,我们在命令提示符中输入:
---------------------------------------------------------------------------
dir /a /s %systemroot%\Ctfmon.dll
dir /a /s %systemroot%\shimgapi.dll
---------------------------------------------------------------------------
如果系统没有被该蠕虫感染,那么两条命令的返回结果都应该是类似下面这样:
---------------------------------------------------------------------------
驱动器 C 中的卷是 System
卷的序列号是 1234-5678
找不到文件
---------------------------------------------------------------------------
如果看到了类似下面的结果,则说明可能被蠕虫感染了:
---------------------------------------------------------------------------
驱动器 C 中的卷是 System
卷的序列号是 1234-5678
C:\WINNT\system32 的目录
2004-01-30 20:12 6,144 Ctfmon.dll
1 个文件 6,144 字节
列出所有文件:
1 个文件 6,144 字节
0 个目录 640,774,144 可用字节
---------------------------------------------------------------------------
解决方法:
==========
由于该蠕虫修改了注册表和一些系统文件,所以,对于普通用户,我们建议借助于杀毒软件来清除该蠕虫。另外,目前各大杀毒软件厂商基本上都提供了针对该蠕虫的专杀工具,可以到这些厂商的主站上下载使用。
如果您对Windows系统有一定的了解,有兴趣手工清除该蠕虫,可以参考技术分析部分的详细描述进行相应操作。
分析:
======
该蠕虫没有使用特别的技术和系统漏洞,之所以能造成如此大的危害,主要还是由于人们防范意识的薄弱,和蠕虫本身传播速度较快的缘故。
蠕虫作者可能手工抹去了程序中和编译器、开发环境相关的一些信息,。不过仔细分析,还是可以知道,程序是使用Visual Studio .NET开发的。
蠕虫在系统中寻找所有可能包含邮件地址的文件,包括地址簿文件、各种网页文件、各种动态网页文件等等。从中提取邮件地址,作为发送的目标。
蠕虫邮件的主题是下列之一:
Status
hi
test
hello
Error
Delivery Error
Returned mail
Server Report
Mail Transaction Failed
Mail Delivery System
包含的附件文件名是下列之一:
document
readme
doc
text
file
data
test
message
body
附件的扩展名是下列之一:
pif
scr
exe
cmd
bat
zip
目前又有很多准变种出现,所以上述附件名等特征也不是绝对的。
蠕虫本身用upx进行了压缩,并且对一些字符串资源作了rot13编码,可能是不愿意被脚本小子轻易修改后作为变种流传出去。蠕虫运行后会在系统中释放出一个dll,对于Mydoom.a,是Shimgapi.dll;Mydoom.b,释放出的文件名是Ctfmon.dll。并且在注册表的这个位置:
\\HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
添加相应键值,这样,登陆系统后,这个dll就会在资源管理器的进程空间中运行。该dll的功能是打开一个代理服务器,监听3127端口,如果该端口被占用,则递增,但不大于3198。
我们对Shimgapi.dll进行分析后发现,该后门有两个功能:
1、作为端口转发代理。
2、接收程序上传并执行。
当后门监听的端口收到连接之后,后门会对收到的第一个字符进行判断,如果第一个字符是0x04,则转入端口转发流程:
判断第一个字节是否0x04--> 判断第二个字节是否是0x01 --> 取第5~8四个字节作为目标IP地址 --> 取3、4两个字节作为目标端口 --> 进行连接并和当前socket作数据转发
类似的,如果第一个字符是0x85,则转入接收文件并执行的流程。也就是说只要构造符合一定格式的数据,发送给后门,就可以在机器上运行任意程序或者连接其他主机。对主机的安全威胁是很大的。
蠕虫会把自身拷贝到系统目录下。对于Mydoom.a,文件名是taskmon.exe;Mydoom.b是explorer.exe。并且在注册表的以下两个位置:
\\HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
\\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加相应键值,使其能够随在用户登陆系统后自动运行。
蠕虫会把自身复制到点对点共享软件KaZaa的共享目录下,并且取一些较有诱惑力的文件名。
Mydoom.b还会修改系统的hosts文件,将一些杀毒软件升级网站、微软下载站点、广告网站进行错误的解析。由于默认情况下,系统在进行域名解析时会优先使用hosts文件中的设定,所以这样的结果就是导致那些网站不能访问。
另外,Mydoom.a在2004年2月1到2004年2月12日之间,会对_blank>www.sco.com进行拒绝服务攻击,Mydoom.b中还添加了对微软网站的拒绝服务。拒绝服务的方式是向网站的WEB服务发送大量GET请求。
声 明
==========
本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关 于 我 们
===========
中联绿盟信息技术(北京)有限公司成立于2000年4月,是国内专业从事网络安全服务的高科技企业,致力于网络安全技术研究、网络安全产品开发,提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案,并协助建立严密的网络安全制度,提高国内的网络安全水平,为客户提供强有力的安全保障。
中联绿盟信息技术(北京)有限公司成立后,其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪,对重大安全问题更成立专项研究小组进行技术攻关,取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网络安全评估系统、网络/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产品的技术实力和经验,已经推出了具有国际领先水平的安全产品系列。
中联绿盟信息技术(北京)有限公司定位于网络系统安全集成商,提供全面的网络安全整体解决方案、先进的网络安全技术服务和优秀的网络安全产品。
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2007-1-3 2:23:44 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 文章录入:itqoo 责任编辑:itqoo |
|
上一个文章: 给c++程序员的一份礼物——常用工具集
下一个文章: 一行代码崩溃IE |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 