SCO炸彈(Worm.Novarg)病毒分析及解決方案

SCO炸彈(Worm.Novarg)病毒分析報(bào)告

 

病毒名稱(chēng)：SCO炸彈(Worm.Novarg)

警惕程度：★★★★

發(fā)作時(shí)間：隨機(jī)

病毒類(lèi)型：蠕蟲(chóng)病毒

傳播途徑：郵件

依賴(lài)系統(tǒng): WINDOWS 9X/NT/2000/XP

 

病毒介紹：

1月27日，瑞星全球反病毒監(jiān)測(cè)網(wǎng)率先截獲一個(gè)傳播力極強(qiáng)的蠕蟲(chóng)病毒，并命名為“SCO炸彈”(Worm.Novarg)病毒.該病毒通過(guò)電子郵件傳播，感染用戶(hù)電腦之后潛伏下來(lái)，等到系統(tǒng)日期為2004年2月1日時(shí)發(fā)作，利用受感染電腦對(duì)SCO網(wǎng)站進(jìn)行拒絕服務(wù)式攻擊。

據(jù)瑞星反病毒工程師分析，此病毒最先在歐美爆發(fā)，主要目的是利用大量受感染電腦攻擊SCO公司的官方網(wǎng)站，很可能是LINUX愛(ài)好者編寫(xiě)。

該病毒利用電子郵件傳播，偽裝成電子郵件系統(tǒng)的退信，郵件標(biāo)題可能為“Error”、“Mail Transaction Failed”、“Server ReportMail Delivery System”，附件后綴為“bat、cmd、exe、pif、scr、zip”，該附件即為病毒體。瑞星反病毒工程師提醒用戶(hù)，如果收到類(lèi)似可疑郵件，請(qǐng)不要打開(kāi)附件。

 

病毒的特性、發(fā)現(xiàn)與清除：

1.     該病毒是蠕蟲(chóng)型病毒，采用upx壓縮。

2.     病毒運(yùn)行時(shí)會(huì)釋放后門(mén)程序?yàn)椋?span lang="EN-US">%System%\ shimgapi.dll，該后門(mén)為一個(gè)代理服務(wù)器，端口為3127至3198，該模塊還能根據(jù)傳來(lái)的命令接受一個(gè)文件到本地系統(tǒng)并執(zhí)行。可將該病毒文件直接刪除。

注意：%system%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，默認(rèn)是：“C:\Windows\system”或：“c:\Winnt\system32”。

3.     病毒運(yùn)行時(shí)會(huì)在%Temp%目錄中生成一個(gè)和記事本一樣圖標(biāo)的隨機(jī)病毒文件，并自動(dòng)調(diào)用記事本程序來(lái)打開(kāi)它，從而顯示一些偽裝信息。

注意：%Temp%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的臨時(shí)目錄，默認(rèn)是：“C:\Windows\temp”或：“c:\Winnt\temp”。

4.     病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為：%System%\taskmon.exe，目的是冒充系統(tǒng)的任務(wù)管理器，廣大計(jì)算機(jī)用戶(hù)要注意分辨。可將該病毒文件直接刪除。

5.     病毒運(yùn)行時(shí)如果發(fā)現(xiàn)有任務(wù)管理器程序(taskmon.exe)正在運(yùn)行，則會(huì)立刻將該程序關(guān)閉，目的是防止用戶(hù)查看內(nèi)存中的病毒進(jìn)程。

6.     病毒運(yùn)行時(shí)會(huì)修改注冊(cè)表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32，在其中建立病毒鍵值："(Default)" = "%System%\ shimgapi.dll "，目的是替換系統(tǒng)中的默認(rèn)瀏覽器程序，使用戶(hù)一打開(kāi)瀏覽器，就能自動(dòng)執(zhí)行病毒�？梢杂米�冊(cè)表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

7.     病毒會(huì)修改注冊(cè)表的自啟動(dòng)項(xiàng)：

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，

在其中加入病毒鍵值：" TaskMon "，目的是開(kāi)機(jī)時(shí)可以自動(dòng)運(yùn)行病毒。可以用注冊(cè)表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

8.     病毒將在一個(gè)時(shí)段范圍內(nèi)(2004.2.1至2004.2.12向www.sco.com網(wǎng)站發(fā)動(dòng)Dos攻擊）攻擊線程達(dá)64個(gè)，如果攻擊成功，將會(huì)導(dǎo)致這兩個(gè)網(wǎng)站癱瘓，無(wú)法向用戶(hù)提供服務(wù)。

9.       病毒運(yùn)行時(shí)將會(huì)在以下類(lèi)型： .htm ，.sht ，.php ，.asp ，.dbx ，.tbb ，.adb

.pl ，.wab ，.txt的文件中搜索email地址（病毒將避開(kāi).edu結(jié)尾的email地址），并向這些地址發(fā)送病毒郵件。

10.  病毒郵件的附件是病毒體，采用雙后綴形式來(lái)迷惑用戶(hù)，常用的后綴為：.htm、.txt、.doc

11.  病毒郵件為以下內(nèi)容：

    病毒郵件的標(biāo)題為以下其中之一：

    test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status

    Error

    郵件內(nèi)容為病毒用隨機(jī)的數(shù)據(jù)進(jìn)行編碼。

    當(dāng)編碼失敗時(shí)病毒用：

The message cannot be represented in 7 -bit  ASCII    encoding and has been sent as a binary attachment.

    test

    The message contains Unicode characters and has been sent as  a binary attachment.

    Mail transaction failed. Partial message is available.

    或空內(nèi)容作為郵件正文。

 

    郵件的附件名為以下其中之一：

    document,readme,doc,text,file,data,test,message,body

 

    擴(kuò)展名為以下其中之一：

    .pif,.scr,.exe,.cmd,.bat,.zip

 

12.  該病毒能通過(guò)一些P2P共享軟件進(jìn)行傳播，病毒運(yùn)行時(shí)會(huì)通過(guò)注冊(cè)表Software\Kazaa\Transfer查詢(xún)P2P軟件的共享目錄并將自己以隨機(jī)選擇體內(nèi)的文件名將自己復(fù)制到該目錄。

    文件名為：  

winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP，   office_crack,nuke2004。

    擴(kuò)展名為：

  .pif,.scr,.bat,.exe

 

瑞星反病毒專(zhuān)家的安全建議：

1.     建立良好的安全習(xí)慣。例如：對(duì)一些來(lái)歷不明的郵件及附件不要打開(kāi)，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從 Internet 下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會(huì)使您的計(jì)算機(jī)更安全。

2.     關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認(rèn)情況下，許多操作系統(tǒng)會(huì)安裝一些輔助服務(wù)，如 FTP 客戶(hù)端、Telnet 和 Web 服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對(duì)用戶(hù)沒(méi)有太大用處，如果刪除它們，就能大大減少被攻擊的可能性。

3.     經(jīng)常升級(jí)安全補(bǔ)丁。據(jù)統(tǒng)計(jì)，有80%的網(wǎng)絡(luò)病毒是通過(guò)系統(tǒng)安全漏洞進(jìn)行傳播的，象紅色代碼、尼姆達(dá)等病毒，所以我們應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補(bǔ)丁，以防范未然。

4.     使用復(fù)雜的密碼。有許多網(wǎng)絡(luò)病毒就是通過(guò)猜測(cè)簡(jiǎn)單密碼的方式攻擊系統(tǒng)的，因此使用復(fù)雜的密碼，將會(huì)大大提高計(jì)算機(jī)的安全系數(shù)。

5.     迅速隔離受感染的計(jì)算機(jī)。當(dāng)您的計(jì)算機(jī)發(fā)現(xiàn)病毒或異常時(shí)應(yīng)立刻斷網(wǎng)，以防止計(jì)算機(jī)受到更多的感染，或者成為傳播源，再次感染其它計(jì)算機(jī)。

6.     了解一些病毒知識(shí)。這樣就可以及時(shí)發(fā)現(xiàn)新病毒并采取相應(yīng)措施，在關(guān)鍵時(shí)刻使自己的計(jì)算機(jī)免受病毒破壞：如果能了解一些注冊(cè)表知識(shí)，就可以定期看一看注冊(cè)表的自啟動(dòng)項(xiàng)是否有可疑鍵值；如果了解一些內(nèi)存知識(shí)，就可以經(jīng)�？纯磧�(nèi)存中是否有可疑程序。

7.     最好是安裝專(zhuān)業(yè)的防毒軟件進(jìn)行全面監(jiān)控。在病毒日益增多的今天，使用毒軟件進(jìn)行防毒，是越來(lái)越經(jīng)濟(jì)的選擇，不過(guò)用戶(hù)在安裝了反病毒軟件之后，應(yīng)該經(jīng)常進(jìn)行升級(jí)、將一些主要監(jiān)控經(jīng)常打開(kāi)（如郵件監(jiān)控）、遇到問(wèn)題要上報(bào)，這樣才能真正保障計(jì)算機(jī)的安全。

SCO炸彈變種B(Worm.Novarg.B)病毒檔案

病毒名稱(chēng)：SCO炸彈變種B(Worm.Novarg.B)

警惕程度：★★★★

發(fā)作時(shí)間：隨機(jī)

病毒類(lèi)型：蠕蟲(chóng)病毒

傳播途徑：郵件

依賴(lài)系統(tǒng): WINDOWS 9X/NT/2000/XP

 

病毒介紹：

1月29日，瑞星全球反病毒監(jiān)測(cè)網(wǎng)率先截獲“SCO炸彈”病毒的一個(gè)新變種，并命名為“SCO炸彈變種B”(Worm.Novarg.b)病毒。據(jù)瑞星反病毒工程師介紹，與“SCO炸彈”不同，該病毒已經(jīng)把攻擊的矛頭直接指向微軟，將對(duì)微軟網(wǎng)站發(fā)動(dòng)拒絕服務(wù)式攻擊。瑞星技術(shù)服務(wù)部門(mén)27日通過(guò)國(guó)內(nèi)病毒監(jiān)測(cè)網(wǎng)監(jiān)測(cè)到1000多封攜帶該病毒的用戶(hù)郵件，而1月29日已經(jīng)上升至4000多封，并有急劇增長(zhǎng)的趨勢(shì)。

據(jù)瑞星反病毒工程師分析，該病毒變種的技術(shù)特性與“SCO炸彈相似”，利用病毒郵件的大量傳播感染用戶(hù)電腦，把感染的電腦當(dāng)作代理服務(wù)器針對(duì)特定網(wǎng)址發(fā)送拒絕服務(wù)式攻擊，這種攻擊方式目前沒(méi)有有效的預(yù)防措施。和“SCO炸彈”一樣，該病毒變種不會(huì)感染以EDU結(jié)尾的郵件地址，盡管病毒編寫(xiě)者的主要目的是為了攻擊微軟和SCO公司，但由于帶毒郵件的大量傳播會(huì)消耗網(wǎng)絡(luò)資源，并對(duì)系統(tǒng)設(shè)置后門(mén)，對(duì)普通用戶(hù)的正常使用造成很大安全風(fēng)險(xiǎn)。

 

病毒的特性、發(fā)現(xiàn)與清除：

1.     該病毒是蠕蟲(chóng)型病毒，采用upx壓縮，病毒體大小為29,184字節(jié)。

2.     病毒運(yùn)行時(shí)會(huì)釋放后門(mén)程序?yàn)椋?span lang="EN-US">%System%\Ctfmon.dll，該后門(mén)程序使用以下TCP端口： 80、 1080、 3128、8080、10080，該后門(mén)可以下載或執(zhí)行任何有害代碼�？蓪⒃摬《疚募�直接刪除。

注意：%system%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，默認(rèn)是：“C:\Windows\system”或：“c:\Winnt\system32”。

3.     病毒運(yùn)行時(shí)會(huì)在%Temp%目錄中生成一個(gè)和記事本一樣圖標(biāo)的隨機(jī)病毒文件，并自動(dòng)調(diào)用記事本程序來(lái)打開(kāi)它，從而顯示一些偽裝信息。

注意：%Temp%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄中的臨時(shí)目錄，默認(rèn)是：“C:\Windows\temp”或：“c:\Winnt\temp”。

4.     病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為：%System%\Explorer.exe，目的是冒充系統(tǒng)的資源管理器，但系統(tǒng)的資源管理器是在%Windir%目錄，而不是在%System%目錄，廣大計(jì)算機(jī)用戶(hù)要注意分辨。可將該病毒文件直接刪除。

注意：：%Windir%是一個(gè)變量，它指的是操作系統(tǒng)安裝目錄，默認(rèn)是：“C:\Windows”或：“c:\Winnt”,也可以是用戶(hù)在安裝操作系統(tǒng)時(shí)指定的其它目錄。 

5.     病毒運(yùn)行時(shí)如果發(fā)現(xiàn)有任務(wù)管理器程序(taskmon.exe)正在運(yùn)行，則會(huì)立刻將該程序關(guān)閉，目的是防止用戶(hù)查看內(nèi)存中的病毒進(jìn)程。

6.     病毒運(yùn)行時(shí)會(huì)修改注冊(cè)表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32，在其中建立病毒鍵值："(Default)" = "%System%\ctfmon.dll"，目的是替換系統(tǒng)中的默認(rèn)瀏覽器程序，使用戶(hù)一打開(kāi)瀏覽器，就能自動(dòng)執(zhí)行病毒�？梢杂米�冊(cè)表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

7.     病毒會(huì)修改注冊(cè)表的自啟動(dòng)項(xiàng)：

    HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在其中加入病毒鍵值："Explorer" = "%System%\Explorer.exe"，目的是開(kāi)機(jī)時(shí)可以自動(dòng)運(yùn)行病毒�？梢杂米�冊(cè)表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

8.     病毒會(huì)修改系統(tǒng)的HOST文件，使用戶(hù)無(wú)法正常登陸下列網(wǎng)站：

    •    ad.doubleclick.net

• ad.fastclick.net

• ads.fastclick.net

• ar.atwola.com

• atdmt.com

• avp.ch

• avp.com

• avp.ru

• awaps.net

• banner.fastclick.net

• banners.fastclick.net

• ca.com

• click.atdmt.com

• clicks.atdmt.com

• dispatch.mcafee.com

• download.mcafee.com

• download.microsoft.com

• downloads.microsoft.com

• engine.awaps.net

• fastclick.net

• f-secure.com

• ftp.f-secure.com

• ftp.sophos.com

• go.microsoft.com

• liveupdate.symantec.com

• mast.mcafee.com

• mcafee.com

• media.fastclick.net

• msdn.microsoft.com

• my-etrust.com

• nai.com

• networkassociates.com

• office.microsoft.com

• phx.corporate-ir.net

• secure.nai.com

• securityresponse.symantec.com

• service1.symantec.com

• sophos.com

• spd.atdmt.com

• support.microsoft.com

• symantec.com

• update.symantec.com

• updates.symantec.com

• us.mcafee.com

• vil.nai.com

• viruslist.ru

• windowsupdate.microsoft.com

• www.avp.ch

• www.avp.com

• www.avp.ru

• www.awaps.net

• www.ca.com

• www.fastclick.net

• www.f-secure.com

• www.kaspersky.ru

• www.mcafee.com

• www.microsoft.com

• www.my-etrust.com

• www.nai.com

• www.networkassociates.com

• www.sophos.com

• www.symantec.com

• www.trendmicro.com

• www.viruslist.ru

• www3.ca.com

9.     病毒會(huì)在指定日期內(nèi)，對(duì)www.microsoft.com和www.sco.com兩個(gè)網(wǎng)站進(jìn)行DoS攻擊，如果攻擊成功，將會(huì)導(dǎo)致這兩個(gè)網(wǎng)站癱瘓，無(wú)法向用戶(hù)提供服務(wù)。

10.  病毒運(yùn)行時(shí)會(huì)搜索以下類(lèi)型：.htm、.sht 、.php 、 .asp 、.dbx 、.tbb 、.adb 、.pl 、.wab 、.txt的文件，在其中尋找有效的郵件地址，然后向這些地址發(fā)送病毒郵件。

11.  病毒郵件的附件是病毒體，采用雙后綴形式來(lái)迷惑用戶(hù)，常用的后綴為：.htm、.txt、.doc

12.  病毒郵件為以下內(nèi)容：

    病毒郵件的標(biāo)題可能為:

    Returned mail

    Delivery Error

    Status

    Server Report

    Mail Transaction Failed

    Mail Delivery System

    hello

    hi

 

    病毒郵件的正文可能為：

    sendmail daemon reported:

    Error #804 occured during SMTP session. Partial message has been received.

    Mail transaction failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message contains MIME-encoded graphics and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

13.  該病毒能通過(guò)一些P2P共享軟件進(jìn)行傳播，病毒運(yùn)行時(shí)會(huì)將自身拷貝到Kazaa軟件的下載目錄下，共命名為：

•   icq2004-final

•   Xsharez_scanner

•   BlackIce_Firewall_Enterpriseactivation_crack

•   ZapSetup_40_148

•   MS04-01_hotfix

•   Winamp5

•   AttackXP-1.26

•   NessusScan_pro

誘惑該軟件的其它用戶(hù)點(diǎn)擊，從而達(dá)到傳播的目的。

 

專(zhuān)殺工具：

瑞星專(zhuān)殺工具：http://download.rising.com.cn/zsgj/RavNovarg.exe
金山專(zhuān)殺工具：http://download01.duba.net/download/othertools//Duba_Novarg.EXE

諾頓專(zhuān)殺工具：http://down.tech.sina.com.cn/cgi-bin/download.cgi?s_id=10374&href=0