“口令蠕虫”病毒Worm.Dvldr分析报告 IT地带

首页　新闻　安徽　体育　财经　黄梅　旅游　军事　娱乐　法治　教育　伊人　健康	○ 繁体中文 ○
ＩＴ　彩信　读书　汽车　演艺　音乐　徽商　书库　邮件　论坛　贺卡　相册　交友	○ 简体中文 ○

精彩图库

业界动态

精彩推荐

v	金正副总经理被拘留审查与万平案有牵连
v	波导汽车制造悬念追踪
v	空调节能标准明年3月启用建议半年后再买
v	高清碟机标准之争爆发割喉战测试结果将公布
v	开辟折叠之路--诺基亚全新7270手机图片赏
v	刀锋战士传人--诺基亚全新7260手机全解析

精彩图片

　您当前的位置：IT地带 > 业界动态 > 病毒安全正文

“口令蠕虫”病毒Worm.Dvldr分析报告

瑞星公司 2003-03-16 13:19

独家专题：病毒专区

　　此病毒是用VC编写，并用ASPack压缩，病毒运行后，将通过NETBIOS协议攻击网络上没有设置密码或者仅有简单密码保护的Windows机器，然后在远程主机上安装并运行后门程序，使得远程主机被攻击者完全控制；同时被感染主机将发送、并接收大量IRC数据包造成泄密并导致网络拥塞。

　　被病毒感染的机器特点：1、被感染机器为微软Window系列机器2、被感染机器的管理员密码为空或者是简单的密码（如123，password等）3、被感染机器开放5800和5900端口4、被感染机器向外发送大量的TCP数据包，目标端口均为6667。

　　病毒攻击流程：病毒运行后首先在系统注册表的run项中加入自己的键值，以保证系统重新启动后能够自动运行。然后病毒以testXserv为互斥量防止自身被运行多遍。接着病毒进入网络传播部分。

　　网络传播：病毒随机得到两个IP并建立两个动作相同的传播线程。等待线程结束后重复。

　　传播线程：这个线程首先随机选定目标IP地址，然后调用Windows系统函数WNetAddConnection2A来连接目标地址的Windows文件共享和远程访问端口(445)，一旦连接成功，病毒线程用自身一份字典列表穷举对方超级用户口令，这个密码字典里面附带了84个常用密码（详见附录1）。一旦密码破解成功，也就获得了远程主机的管理员权限，病毒从自己的资源节中放出两个文件psexec.exe，inst.exe。psexec.exe是由SYSINTERNAL公司提供的工具，用于远程执行应用程序。inst.exe是病毒的安装程序。病毒通过psexec.exe将自身（DvLdr32.exe）和inst.exe传递到远程主机并运行它们。随后病毒将删除被感染远程系统的系统盘C:，D:，E:，F:，ADMIN$，IPC$的共享，导致无法进行正常的远程管理，同时也防止这台机器被重复感染。

　　当inst.exe被运行后，它首先会释放如下文件：

%WINDOWS%\Fonts\rundll32.exe

%WINDOWS%\Fonts\explorer.exe

%WINDOWS%\Fonts\omnithread_rt.dll

%WINDOWS%\Fonts\VNCHooks.dll

%SYSTEM%\cygwin1.dll

　　最终被感染主机存在如下文件

其中%WINDOWS%是Windows的安装目录。

%SYSTEM%是Windows的系统所在目录；

　　Windows 9x为 %WINDOWS\SYSTEM；

　　Windows NT/2000/XP为 %WINDOWS\SYSTEM32。

　　然后会在系统的注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run里面添加如下项保证在系统启动时自动运行：

　　TaskMan=%WINDOWS%\Fonts\rundll32.exe；

　　Explorer=%WINDOWS%\Fonts\explorer.exe；

　　messnger=%SYSTEM%\Dvldr32.exe

　　explorer.exe是AT&T公司的远程控制程序VNC的服务器程序，运行此程序以后，本地端口5800，5900将会被打开并处于监听状态，攻击者可以通过VNC的客户端程序如WinVNC对此机器进行远程控制。rundll32.exe是病毒通过IRC协议连接到远程主机汇报被感染主机信息的程序。主机信息列表参见附录2。

　　处理方法：

　　1、检查注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run是否已经被修改，同时本机是否存在上述的被感染主机的特征，如果不存在上面所列的各项，表示您的机器尚未被感染，但是由于病毒攻击的原理是通过密码探测来实现的，所以请确认您的机器已经使用了较复杂的密码保护。

　　2、如果您的机器已经被感染，请立即删除这些项，然后删除%WINDOWS%\All Users\Start Menu\Programs\Startup\inst.exe%WINDOWS%\Start Menu\Programs\Startup\inst.exeC:\Documents and Settings\All Users\Start Menu\Programs\Startup\inst.exe，删除完成以后重新启动计算机。

　　3、重新启动后请删除病毒生成的文件：

　　%SYSTEM%\dvldr32.exe

　　%WINDOWS%\Fonts\rundll32.exe

　　%WINDOWS%\Fonts\explorer.exe

　　%WINDOWS%\Fonts\omnithread_rt.dll

　　%SYSTEM%\omnithread_rt2.dll

　　%SYSTEM%\omniorb251_rt.dll

　　%WINDOWS%\Fonts\omnithread_rt.dll

　　%WINDOWS%\Fonts\VNCHooks.dll

　　%SYSTEM%\cygwin1.dll

编辑： --

　∷【相关报道】∷

-	警惕！Lovgate.C 蠕虫病毒开始在网上传播 03-02-26 07:06
-	“爱情后门”蠕虫病毒传播速度已减缓 03-02-28 14:57
-	中国互联网遭遇新蠕虫突袭专家提出对策 03-03-10 11:56
-	“德拉”蠕虫！Windows用户须加强口令 03-03-15 20:00
-	仿“口令蠕虫”　新蠕虫病毒技术分析 03-03-16 07:44
-	国产蠕虫病毒惊海外　专偷管理员密码 03-03-16 07:55
-	仿“口令”病毒　又一猜密码蠕虫现身 03-03-16 07:59
-	病毒观察：从“2003蠕虫王“到”猜谜者” 03-03-16 12:49
-	发现“口令蠕虫”病毒及其完全截杀方法 03-03-16 13:07