2003-3-9日金山反病毒应急处理中心又捕获到一个新型的攻击型蠕虫病毒,该蠕虫主要攻击系统为NT/2000平台,通过探测445端口方式穷举管理员密码,并殖入一个后门程序使得该机器的安全性降低到0。金山毒霸反病毒应急处理中心紧急提醒大家,一定要给自己的超级用户设定一个安全、强壮的密码。
以下是该病毒的初步分析结果:
病毒名称:Worm.DvLdr
病毒类型:PE蠕虫
传播方式:探测445端口连接穷举破解密码
病毒简介:该病毒体较大,包含数个可执行文件。主体程序为DvLdr32.exe,为VC++6编写,并采用aspack压缩过。病毒自带了两份命令行工具,分别是psexesvc和Remote process launcher,均为sysinternals发布的正常网络工具。并附带有一份安装包,负责在攻击成功之后,在宿主机器上安装VNC远程控制工具。
该蠕虫运行后,随机选择两个IP段,连接对方445端口,该端口为Samba为和NT系统进行文件共享而开设端口。如果蠕虫连接此端口成功,则使用自身附带的一份字典进行穷举探测对方的administrator用户密码,一旦探测成功获得对方超级用户密码,则拷贝自身进入系统。登记注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加三项键值:"TaskMan"="%1\Fonts\rundll32.exe";"Explorer"="%1\Fonts\explorer.exe";"messnger"="%1\system32\Dvldr32.exe"。其中%1为被攻击机器的WinNT所在目录。Explorer.exe为VNC自带管理工具。并殖入VNC远程控制工具到被攻击系统中,同时修改了VNC的注册表配置,使得VNC服务端图标并不出现在系统托盘中。
处理方法:从以上的过程中,被攻击系统是否会被感染很大程度上取决于Aministrator的密码是否在蠕虫的字典列表中。如果蠕虫没有获得超级用户的密码,那么其后续的一系列感染动作都无从进行,所以金山毒霸应急处理中心再次提醒广大管理员一定要对Administrator设置一个强壮的密码。
如果不幸已经被蠕虫感染,那么除了及时更改密码,还需要结束掉此蠕虫的进程,清除它所做的一系列修改:
首先使用进程管理器结束掉dvldr32.exe进程。重新启动系统,确认没有drldr32.exe这个进程,然后删除文件:
%Windir%\Fonts\rundll32.exe
%WINDIR%\Fonts\explorer.exe
%WINDIR%\Fonts\omnithread_rt.dll
%WINDIR%\Fonts\VNCHooks.dll
%SYSTEMDIR%\dvldr32.exe
%SYSTEMDIR%\cygwin1.dll
%STARTMENU%\Programs\Startup\INST.exe
清除注册表项目:
删除主键:HKEY_CURRENT_USER\Software\ORL
删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的三项键值:
"TaskMan"="%1\Fonts\rundll32.exe"
"Explorer"="%1\Fonts\explorer.exe"
"messnger"="%1\system32\Dvldr32.exe"