|
本周提醒广大用户注意一个最新DIY网络蠕虫:Net-Worm.Win32.Dasher(黛蛇),该病毒已经在最近几天内迅速出现多个变种。最新变种除了利用MS05-051外,还利用MS04-045、MS05-039、MSSQL-Hello等漏洞传播,受威胁的系统为:Windows 2000、Windows XP、Windows 2003。
病毒运行后会释放病毒相关文件到%system%、%program files%目录下,修改注册表文件,添加服务等。 以下是病毒释放的相关文件:
%System%\wins\Result.txt
%System%\wins\SqlExp.exe
%System%\wins\SqlExp1.exe
%System%\wins\SqlExp2.exe
%System%\wins\SqlExp3.exe
%System%\wins\SqlScan.exe
%System%\wins\Sqltob.exe
%ProgramFiles%\nzspfrwy.log
%ProgramFiles%\nzspfrwy.dll
%ProgramFiles%\nzspfrwy.dl1
%ProgramFiles%\nzspfrwy.sys |
结果文件
Exploit.Win32.MS04-045.k
Exploit.Win32.MS05-039.ac
Exploit.Win32.MS05-051.d
Exploit.Win32.MSSQL-Hello.a
NetTool.Win32.TCPPortScanner
Net-Worm.Win32.Dasher.b
keylog文件
Backdoor.Win32.PcClient.ij
Backdoor.Win32.PcClient.hp
Backdoor.Win32.PcClient.ij |
其中文件nzspfrwy.sys驱动HOOK系统SSDT来隐藏nzspfrwy*文件。第一次运行将nzspfrwy.dll插入到svchost进程,并启动一个隐藏的IE进程与远程主机通信。SqlScan.exe、SqlExp*.exe功能为扫描目标主机、溢出主机。
以下是病毒对注册表的操作:
新键键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
键名:SMBDeviceEnabled
键值:dword:00000000
修改键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
键名:Start
修改为:dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters
键名:ServiceDll
修改为:%ProgramFiles%\nzspfrwy.dll
病毒还会增加如下服务:
服务名称:nzspfrwy
显示名称:nzspfrwy
执行文件路径:C:\Program Files\nzspfrwy.sys
解决方案: (本预警以WIN2000 PRO版为例)
1、任务管理器结束:Sqltob.exe、SqlScan.exe进程。
2、删除%System%\wins下对应文件。
3、将被感染主机硬盘挂到一个干净系统,或者使用Live CD系统启动光盘启动,删除%ProgramFiles%\对应的病毒文件。
4、删除残余服务表项:
SC delete nzspfrwy
用注册表编辑器删除此键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NZSPFRWY
5、恢复HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters表项:
键名:ServiceDll
病毒键值:%ProgramFiles%\nzspfrwy.dll
恢复为:%SystemRoot%\system32\rpcss.dll
6、升级系统补丁。
7、在防火墙中屏蔽如下端口:
42
445
1025
1433
安天应急处理小组郑重提醒广大用户:
1.及时安装系统补丁。
2.不要随意点击来自论坛和即时通讯工具的连接,更不要执行远方传输来的可执行程序,不要轻信相关说明,形成二次传播。
3.使用安天木马防线2005+,木马防线全自动升级,可以为你的系统提供透明的保护。
|
内容:
病毒上报信箱: