xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version

Worm.Dvldr 蠕虫紧急公告


创建时间:2003-03-10
文章属性:原创
文章来源:benjurry & 安天实验室(Antiy Labs)
文章提交:xundi (xundi_at_xfocus.org)

Worm.Dvldr 蠕虫紧急公告
----------------------------------------------------

www.Xfocus.org(感谢安天实验室(Antiy Labs - http://www.antiy.net)的帮助)
----------------------------------------------------
发布日期:2003-03-09
----------------------------------------------------

影响系统:
windows 2000/NT  (弱口令系统都受影响)
----------------------------------------------------

说明:
----------------------------------------------------

2003年3月8日开始,整个网络速度下降,Xfocus成员通过对多个地方的网络数据进行捕获和分析,发现了一个新的利用windows 2000/NT弱口令的蠕虫。该蠕虫用所带的字典暴力破解随机生成的ip的机器,如果成功,则感染机器,并植入VNC修改版本后面,并向一个irc列表汇报已经感染主机的信息,同时继续向其他机器感染。


蠕虫特征:
----------------------------------------------------
该蠕虫包含以下程序:
文件名                        可能出现的目录                            长度                      说明
dvldr32.exe                 %windir%\system32(NT/2K)                     745,984                   蠕虫的主要部分,执行扫描和感染功能
                            %windir%\system(9x)
rundll32.exe                %windir%\fonts                                29,336                    蠕虫的感染报告部分,执行向IRC列表发送感染成功信息,由linux程序改编
explorer.exe                %windir%\fonts                                212,992                   蠕虫的后门程序,是VNC的一部分
omnithread_rt.dll           %windir%\fonts                                57,344                    蠕虫的后门程序,是VNC的一部分
VNCHooks.dll                %windir%\fonts                                32,768                    蠕虫的后门程序,是VNC的一部分
cygwin1.dll                 %windir%\system32(NT/2K)                      944,968                   Linux程序到Windows移植进行支持的动态连接库,支持蠕虫中的rundll32.exe
                            %windir%\system(9x)
INST.exe                    %windir%\system32                              684,562                 以上几个程序的打包安装程序        
                            C:Documents and Settings\All Users\Start Menu\Programs\Startup***
                            C:\WINDOWS\Start Menu\Programs\Startup\inst.exe***
                            C:\WINNT\All Users\Start Menu\Programs\Startup\inst.exe***
                            


该蠕虫可能修改以下注册表:



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
"messnger"="C:\\WINNT\\system32\\Dvldr32.exe"

[HKEY_CURRENT_USER\Software\ORL]

[HKEY_CURRENT_USER\Software\ORL\WinVNC3]
"SocketConnect"=dword:00000001
"AutoPortSelect"=dword:00000001
"InputsEnabled"=dword:00000001
"LocalInputsDisabled"=dword:00000000
"IdleTimeout"=dword:00000000
"QuerySetting"=dword:00000002
"QueryTimeout"=dword:0000000a
"Password"=hex:XXXXXXX
"PollUnderCursor"=dword:00000001
"PollForeground"=dword:00000001
"PollFullScreen"=dword:00000001
"OnlyPollConsole"=dword:00000001
"OnlyPollOnEvent"=dword:00000001

[HKEY_CURRENT_USER\Software\ORL\VNCHooks]

[HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs]

[HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs\EXPLORER.EXE]



感染特征:

----------------------------------------------------


1、已感染机器对大量目标地址发送端口为TCP 445的包
2、系统被安装了AT&T VNC远程管理程序,开放了5800和5900端口
3、向外部某些IRC服务器(6667端口)发送信息



解决办法:

----------------------------------------------------

1、修改管理员密码
2、用进程工具(pskill等)杀掉蠕虫进程dvldr32.exe、rundll32.exe、explorer.exe
3、删除上面所说的文件
4、在网络设备上关闭445端口,防止内部网络被感染

附录1:蠕虫自带的攻击字典

----------------------------------------------------

admin
Admin
password
Password
1
12
123
1234
12345
123456
1234567
12345678
123456789
654321
54321
111
000000
00000000
11111111
88888888
pass
passwd
database
abcd
abc123
oracle
sybase
123qwe
server
computer
Internet
super
123asd
ihavenopass
godblessyou
enable
xp
2002
2003
2600
0
110
111111
121212
123123
1234qwer
123abc
007
alpha
patrick
pat
administrator
root
sex
god
foobar
a
aaa
abc
test
test123
temp
temp123
win
pc
asdf
secret
qwer
yxcv
zxcv
home
xxx
owner
login
Login
pwd
pass
love
mypc
mypc123
admin123
pw123
mypass
mypass123