Worm.Dvldr 蠕虫紧急公告创建时间:2003-03-10 文章属性:原创 文章来源:benjurry & 安天实验室(Antiy Labs) 文章提交:xundi (xundi_at_xfocus.org) Worm.Dvldr 蠕虫紧急公告 ---------------------------------------------------- www.Xfocus.org(感谢安天实验室(Antiy Labs - http://www.antiy.net)的帮助) ---------------------------------------------------- 发布日期:2003-03-09 ---------------------------------------------------- 影响系统: windows 2000/NT (弱口令系统都受影响) ---------------------------------------------------- 说明: ---------------------------------------------------- 2003年3月8日开始,整个网络速度下降,Xfocus成员通过对多个地方的网络数据进行捕获和分析,发现了一个新的利用windows 2000/NT弱口令的蠕虫。该蠕虫用所带的字典暴力破解随机生成的ip的机器,如果成功,则感染机器,并植入VNC修改版本后面,并向一个irc列表汇报已经感染主机的信息,同时继续向其他机器感染。 蠕虫特征: ---------------------------------------------------- 该蠕虫包含以下程序: 文件名 可能出现的目录 长度 说明 dvldr32.exe %windir%\system32(NT/2K) 745,984 蠕虫的主要部分,执行扫描和感染功能 %windir%\system(9x) rundll32.exe %windir%\fonts 29,336 蠕虫的感染报告部分,执行向IRC列表发送感染成功信息,由linux程序改编 explorer.exe %windir%\fonts 212,992 蠕虫的后门程序,是VNC的一部分 omnithread_rt.dll %windir%\fonts 57,344 蠕虫的后门程序,是VNC的一部分 VNCHooks.dll %windir%\fonts 32,768 蠕虫的后门程序,是VNC的一部分 cygwin1.dll %windir%\system32(NT/2K) 944,968 Linux程序到Windows移植进行支持的动态连接库,支持蠕虫中的rundll32.exe %windir%\system(9x) INST.exe %windir%\system32 684,562 以上几个程序的打包安装程序 C:Documents and Settings\All Users\Start Menu\Programs\Startup*** C:\WINDOWS\Start Menu\Programs\Startup\inst.exe*** C:\WINNT\All Users\Start Menu\Programs\Startup\inst.exe*** 该蠕虫可能修改以下注册表: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe" "Explorer"="C:\\WINNT\\Fonts\\explorer.exe" "messnger"="C:\\WINNT\\system32\\Dvldr32.exe" [HKEY_CURRENT_USER\Software\ORL] [HKEY_CURRENT_USER\Software\ORL\WinVNC3] "SocketConnect"=dword:00000001 "AutoPortSelect"=dword:00000001 "InputsEnabled"=dword:00000001 "LocalInputsDisabled"=dword:00000000 "IdleTimeout"=dword:00000000 "QuerySetting"=dword:00000002 "QueryTimeout"=dword:0000000a "Password"=hex:XXXXXXX "PollUnderCursor"=dword:00000001 "PollForeground"=dword:00000001 "PollFullScreen"=dword:00000001 "OnlyPollConsole"=dword:00000001 "OnlyPollOnEvent"=dword:00000001 [HKEY_CURRENT_USER\Software\ORL\VNCHooks] [HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs] [HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs\EXPLORER.EXE] 感染特征: ---------------------------------------------------- 1、已感染机器对大量目标地址发送端口为TCP 445的包 2、系统被安装了AT&T VNC远程管理程序,开放了5800和5900端口 3、向外部某些IRC服务器(6667端口)发送信息 解决办法: ---------------------------------------------------- 1、修改管理员密码 2、用进程工具(pskill等)杀掉蠕虫进程dvldr32.exe、rundll32.exe、explorer.exe 3、删除上面所说的文件 4、在网络设备上关闭445端口,防止内部网络被感染 附录1:蠕虫自带的攻击字典 ---------------------------------------------------- admin Admin password Password 1 12 123 1234 12345 123456 1234567 12345678 123456789 654321 54321 111 000000 00000000 11111111 88888888 pass passwd database abcd abc123 oracle sybase 123qwe server computer Internet super 123asd ihavenopass godblessyou enable xp 2002 2003 2600 0 110 111111 121212 123123 1234qwer 123abc 007 alpha patrick pat administrator root sex god foobar a aaa abc test test123 temp temp123 win pc asdf secret qwer yxcv zxcv home xxx owner login Login pwd pass love mypc mypc123 admin123 pw123 mypass mypass123 |
