> 笔者7月9日从广州市公安局网监处获悉,近期互联网上相继出现了“BUG-BEAR”、“MOFEI”、“Muma”、“Sobig”等新计算机蠕虫病毒,这些病毒具有感染速度快、扩散面广、传播形式复杂多样等特点,可通过电子邮件、共享网络资源、感染本地文件等方式传播。广州警方要求各有关单位立即采取措施进行自查,采取升级防病毒软件最新版本、尽量关闭计算机上的共享目录、使用复杂密码等手段,保证网络安全。
“Bugbear”、“Mofei”、“Muma”、“Sobig”等计算机蠕虫病毒传播方式如下:
一、I- Worm.Bugbear.b蠕虫病毒
该病毒运行后,会将自己复制到系统目录下,并同时放出3份病毒文件,名称随机。病毒运行时会在本地系统监听1080端口,等待控制台端的连入,形成一个病毒后门,并且可以执行一些简单的控制命令。病毒会尝试感染系统目录或Program File s目录里的可执行文件,使一般的杀毒软件无法清除。病毒会试图搜索局域网内的所有共享资源,在可能的情况下把自己复制到远程系统开始菜单的启动目录中。病毒会每隔20秒就查找一下内存,当发现有当前国外流行的反病毒软件或防火墙的程序运行时,就会使它们失效。病毒会试图从后缀名为。mmf.nch.mbx.eml.tbb.dbx.ocs的文件中搜出mail地址进行邮件传播。
二、I- WORM_ Mofei. B蠕虫病毒
该蠕虫病毒主要攻击的系统是NT/2000/XP,蠕虫由以下文件组成:Scardsvr32.exe、scardsvr32.dll、mofei.cfg、mofei.ver、mofei.dat.蠕虫作为服务执行,蠕虫病毒不检查内存中的重复进程,病毒在windows95/98系统会写注册表键值HKEY_ LOCAL_ MA-CHIN ESoftware M icrosoftWindowsCurrent VersionRun Services的SCardSvr=%Windows%System 32SCard Svr. Exe,使病毒进程以后台服务的形式存在;在windows NT系统病毒将创建服务来运行病毒,服务名称为Smart Card Helper (服务指向病毒文件);在windows 2000/XP病毒将修改系统服务Smart Card Helper使其指向病毒文件来达到开机运行病毒的目的;病毒在内存中可以有多个进程,蠕虫连接多个互联网IP地址,造成拒绝服务攻击。蠕虫通过预先定义弱口令列表,尝试登录远程计算机和局域网内所有计算机。登录成功将自己拷贝到远程计算机。病毒利用135和139端口在受感染的计算机跟远程计算机之间传输信息,允许客户端进行操作。
病毒会在Windows NT/2000/XP系统中创建一个名为tsinternetuser的帐号,如果计算机已经有了这个帐号,病毒会修改它的密码为6875 20,并将这个帐号加入到本地管理员组。蠕虫程序有一些错误,在特定的计算机上运行会出现找不到psapi. dll的错误提示。
手工清除该病毒的方法:1.结束病毒进程SCARDSVR32.EXE,删除病毒文件。
2.清除以上提到的注册表键值3.清除服务:Win dows 2000/XP系统用注册表编辑器REGEDIT.EXE编辑主键HKEY_ LOCAL_MACHINE SYSTEMCurrent Control SetServicesSCard Drv中的以下键的键值(以下“=”号前的为对应的键,“=”后的为键值,“()”中的值是十进制的显示结果,“()”前面的是16进制显示结果):Image Path =%SystemRoot%system32Scard Svr.exe Error Control=00000000(0) Start=00000003(3)Type=00000020(32)如果是Windows NT系统直接删除以上键值即可。
4.删除帐号tsin ternetuser或者修改其密码。
5.对局域网内计算机不要使用管理员来进行网络访问,可以创建不同用户来访问。
三、I- WORM.Muma.Bat.A蠕虫病毒
该病毒首先从start. bat文件开始执行,运行中调用了一系列的批处理文件,病毒首先遍历本地的C盘到H盘的所有本地硬盘并将结果写入到文件lan.log中,然后判断lan. log文件中是否包含MU字符串,如果有就删除该日志文件;接下来病毒会尝试删除文件ipcfind. txt( hfind.exe查找的结果记录文件),然后运行hfind.exe (红客联盟出品的一个命令行nt弱口令扫描工具,由于需要输入固定的ip段作为扫描的参数,病毒首先随机取得了ip地址的前两个字段的值,后两个字段固定取值0.1到0.254),hfind.exe运行将调用密码库ipcpass.txt文件,如果该文件为空,hfind.exe以穷举密码方式寻找局域网中管理共享(admin$ )的密码,并将结果写到文件ip cfind.txt中;接着病毒通过批处理文件replace. bat调用程序rep.exe,将ipcfind.txt中的内容写到新文件Tihuan.txt当中,并将原文件删除,然后病毒利用某台计算机管理共享的弱口令(在tih uan. txt中)将病毒文件拷贝到这台机器的admin$sys-tem 32(对应从本机查看的%systemroot% system32目录)当中,并用本机的start.exe (系统程序)调用psexec.exe来将该远程计算机中的start. bat文件启动起来。病毒在完成以上操作以后会运行程序netstat.exe,并将输出结果记录到文件a.tmp,然后病毒调用文件near. bat,并将ip地址提供给它。在windowsNT /2000/XP操作系统上,病毒会通过netservice.bat来调用netservice. exe加参数-install安装一个服务(为了防止出现提示信息,批处理文件中全部把屏幕输出到了一个临时文件a. tm p当中),服务的名称为application,服务启动会执行程序“cmd /css. bat”,而ss. bat文件用于在本地生成一个叫做admin的用户(密码设置为KKKKKKK),并将其加入管理员组,然后以这个用户身份在本地计算机运行start.bat.由于病毒在start. bat文件中加入了goto start参数,start. bat将无限制地运行下去,可能会导致cpu资源出现不足的情况,而且由于hfind.exe对网络的扫描,可能会造成局域网拥塞的现象发生。
手工清除该病毒的方法:1.杀掉以下进程:cmd.exe、ping. exe、find. exe、hfind.exe、psexec.exe.2.在服务管理器中停止服务applic atio n,并进入注册表删除以下主键:Hkey_ Local_ Ma-chine System Current Control SetServicesApplication.3.进入%systemroot%system 32目录删除所有与病毒相关的文件。
四、I-WORM.Sobig.B蠕虫病毒
此病毒第一次启动时会把自己复制到windows目录下命名为msccn32.exe,在windows目录下创建hnks.ini和msdbrr.ini两个文件,在注册表HKEY_LOCAL_MACHINE Software MicrosoftWindows Current Version Run中添加System Tray“=”%Windir%msccn 32. exe,该键值的内容是病毒的文件路径,这样在下一次启动计算机时,病毒会自动运行;如果被感染的操作系统是WindowsNT / 200 0/XP,病毒还会在注册表HKEY_ CURRENT_ USERSOFTWAREMicrosoftWindowsCurrent VersionRun中添加 System Tray“=”%Windir% msccn32.exe.病毒会遍历局域网,并尝试把自己复制到其它计算机的WindowsAll UsersStart MenuProgramsStartUp及Documents and SettingsAll Users StartMenu Programs Startup中以使目标机器启动就进行感染。该病毒还试图从不同的web地址下载数据,这些地址存放在上述的。ini文件中。该病毒搜索所有扩展名为。wab.dbx.htm.html.eml.txt的文件获取邮件地址,然后利用SMTP协议把自己发送到得到的地址中。病毒伪装邮件的发件人为:support@microsoft.com。
文章来源: 南方日报 引自:www.duba.net
Tags:
责任编辑:小黑游戏