SCO炸彈(Worm.Novarg)病毒分析報(bào)告
病毒名稱(chēng):SCO炸彈(Worm.Novarg)
警惕程度:★★★★
發(fā)作時(shí)間:隨機(jī)
病毒類(lèi)型:蠕蟲(chóng)病毒
傳播途徑:郵件
依賴(lài)系統(tǒng): WINDOWS 9X/NT/2000/XP
病毒介紹:
1月27日,瑞星全球反病毒監(jiān)測(cè)網(wǎng)率先截獲一個(gè)傳播力極強(qiáng)的蠕蟲(chóng)病毒,并命名為“SCO炸彈”(Worm.Novarg)病毒.該病毒通過(guò)電子郵件傳播,感染用戶(hù)電腦之后潛伏下來(lái),等到系統(tǒng)日期為2004年2月1日時(shí)發(fā)作,利用受感染電腦對(duì)SCO網(wǎng)站進(jìn)行拒絕服務(wù)式攻擊。
據(jù)瑞星反病毒工程師分析,此病毒最先在歐美爆發(fā),主要目的是利用大量受感染電腦攻擊SCO公司的官方網(wǎng)站,很可能是LINUX愛(ài)好者編寫(xiě)。
該病毒利用電子郵件傳播,偽裝成電子郵件系統(tǒng)的退信,郵件標(biāo)題可能為“Error”、“Mail Transaction Failed”、“Server ReportMail Delivery System”,附件后綴為“bat、cmd、exe、pif、scr、zip”,該附件即為病毒體。瑞星反病毒工程師提醒用戶(hù),如果收到類(lèi)似可疑郵件,請(qǐng)不要打開(kāi)附件。
病毒的特性、發(fā)現(xiàn)與清除:
1. 該病毒是蠕蟲(chóng)型病毒,采用upx壓縮。
2. 病毒運(yùn)行時(shí)會(huì)釋放后門(mén)程序?yàn)椋?span lang="EN-US">%System%\
shimgapi.dll,該后門(mén)為一個(gè)代理服務(wù)器,端口為3127至3198,該模塊還能根據(jù)傳來(lái)的命令接受一個(gè)文件到本地系統(tǒng)并執(zhí)行。可將該病毒文件直接刪除。注意:%system%是一個(gè)變量,它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄,默認(rèn)是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒運(yùn)行時(shí)會(huì)在%Temp%目錄中生成一個(gè)和記事本一樣圖標(biāo)的隨機(jī)病毒文件,并自動(dòng)調(diào)用記事本程序來(lái)打開(kāi)它,從而顯示一些偽裝信息。
注意:%Temp%是一個(gè)變量,它指的是操作系統(tǒng)安裝目錄中的臨時(shí)目錄,默認(rèn)是:“C:\Windows\temp”或:“c:\Winnt\temp”。
4. 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為:%System%\taskmon.exe,目的是冒充系統(tǒng)的任務(wù)管理器,廣大計(jì)算機(jī)用戶(hù)要注意分辨。可將該病毒文件直接刪除。
5. 病毒運(yùn)行時(shí)如果發(fā)現(xiàn)有任務(wù)管理器程序(taskmon.exe)正在運(yùn)行,則會(huì)立刻將該程序關(guān)閉,目的是防止用戶(hù)查看內(nèi)存中的病毒進(jìn)程。
6. 病毒運(yùn)行時(shí)會(huì)修改注冊(cè)表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒鍵值:"(Default)" = "%System%\ shimgapi.dll ",目的是替換系統(tǒng)中的默認(rèn)瀏覽器程序,使用戶(hù)一打開(kāi)瀏覽器,就能自動(dòng)執(zhí)行病毒?梢杂米(cè)表編輯工具(regedit.exe)將該病毒鍵值直接刪除。
7. 病毒會(huì)修改注冊(cè)表的自啟動(dòng)項(xiàng):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
在其中加入病毒鍵值:" TaskMon ",目的是開(kāi)機(jī)時(shí)可以自動(dòng)運(yùn)行病毒。可以用注冊(cè)表編輯工具(regedit.exe)將該病毒鍵值直接刪除。
8. 病毒將在一個(gè)時(shí)段范圍內(nèi)(2004.2.1至2004.2.12向www.sco.com網(wǎng)站發(fā)動(dòng)Dos攻擊)攻擊線程達(dá)64個(gè),如果攻擊成功,將會(huì)導(dǎo)致這兩個(gè)網(wǎng)站癱瘓,無(wú)法向用戶(hù)提供服務(wù)。
9. 病毒運(yùn)行時(shí)將會(huì)在以下類(lèi)型: .htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb
.pl ,.wab ,.txt的文件中搜索email地址(病毒將避開(kāi).edu結(jié)尾的email地址),并向這些地址發(fā)送病毒郵件。
10. 病毒郵件的附件是病毒體,采用雙后綴形式來(lái)迷惑用戶(hù),常用的后綴為:.htm、.txt、.doc
11. 病毒郵件為以下內(nèi)容:
病毒郵件的標(biāo)題為以下其中之一:
test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status
Error
郵件內(nèi)容為病毒用隨機(jī)的數(shù)據(jù)進(jìn)行編碼。
當(dāng)編碼失敗時(shí)病毒用:
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
test
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
或空內(nèi)容作為郵件正文。
郵件的附件名為以下其中之一:
document,readme,doc,text,file,data,test,message,body
擴(kuò)展名為以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip
12. 該病毒能通過(guò)一些P2P共享軟件進(jìn)行傳播,病毒運(yùn)行時(shí)會(huì)通過(guò)注冊(cè)表Software\Kazaa\Transfer查詢(xún)P2P軟件的共享目錄并將自己以隨機(jī)選擇體內(nèi)的文件名將自己復(fù)制到該目錄。
文件名為:
winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP, office_crack,nuke2004。
擴(kuò)展名為:
.pif,.scr,.bat,.exe
瑞星反病毒專(zhuān)家的安全建議:
1. 建立良好的安全習(xí)慣。例如:對(duì)一些來(lái)歷不明的郵件及附件不要打開(kāi),不要上一些不太了解的網(wǎng)站、不要執(zhí)行從 Internet 下載后未經(jīng)殺毒處理的軟件等,這些必要的習(xí)慣會(huì)使您的計(jì)算機(jī)更安全。
2. 關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認(rèn)情況下,許多操作系統(tǒng)會(huì)安裝一些輔助服務(wù),如 FTP 客戶(hù)端、Telnet 和 Web 服務(wù)器。這些服務(wù)為攻擊者提供了方便,而又對(duì)用戶(hù)沒(méi)有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 經(jīng)常升級(jí)安全補(bǔ)丁。據(jù)統(tǒng)計(jì),有80%的網(wǎng)絡(luò)病毒是通過(guò)系統(tǒng)安全漏洞進(jìn)行傳播的,象紅色代碼、尼姆達(dá)等病毒,所以我們應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補(bǔ)丁,以防范未然。
4. 使用復(fù)雜的密碼。有許多網(wǎng)絡(luò)病毒就是通過(guò)猜測(cè)簡(jiǎn)單密碼的方式攻擊系統(tǒng)的,因此使用復(fù)雜的密碼,將會(huì)大大提高計(jì)算機(jī)的安全系數(shù)。
5. 迅速隔離受感染的計(jì)算機(jī)。當(dāng)您的計(jì)算機(jī)發(fā)現(xiàn)病毒或異常時(shí)應(yīng)立刻斷網(wǎng),以防止計(jì)算機(jī)受到更多的感染,或者成為傳播源,再次感染其它計(jì)算機(jī)。
6. 了解一些病毒知識(shí)。這樣就可以及時(shí)發(fā)現(xiàn)新病毒并采取相應(yīng)措施,在關(guān)鍵時(shí)刻使自己的計(jì)算機(jī)免受病毒破壞:如果能了解一些注冊(cè)表知識(shí),就可以定期看一看注冊(cè)表的自啟動(dòng)項(xiàng)是否有可疑鍵值;如果了解一些內(nèi)存知識(shí),就可以經(jīng)?纯磧(nèi)存中是否有可疑程序。
7. 最好是安裝專(zhuān)業(yè)的防毒軟件進(jìn)行全面監(jiān)控。在病毒日益增多的今天,使用毒軟件進(jìn)行防毒,是越來(lái)越經(jīng)濟(jì)的選擇,不過(guò)用戶(hù)在安裝了反病毒軟件之后,應(yīng)該經(jīng)常進(jìn)行升級(jí)、將一些主要監(jiān)控經(jīng)常打開(kāi)(如郵件監(jiān)控)、遇到問(wèn)題要上報(bào),這樣才能真正保障計(jì)算機(jī)的安全。
SCO炸彈變種B(Worm.Novarg.B)病毒檔案
病毒名稱(chēng):SCO炸彈變種B(Worm.Novarg.B)
警惕程度:★★★★
發(fā)作時(shí)間:隨機(jī)
病毒類(lèi)型:蠕蟲(chóng)病毒
傳播途徑:郵件
依賴(lài)系統(tǒng): WINDOWS 9X/NT/2000/XP
病毒介紹:
1月29日,瑞星全球反病毒監(jiān)測(cè)網(wǎng)率先截獲“SCO炸彈”病毒的一個(gè)新變種,并命名為“SCO炸彈變種B”(Worm.Novarg.b)病毒。據(jù)瑞星反病毒工程師介紹,與“SCO炸彈”不同,該病毒已經(jīng)把攻擊的矛頭直接指向微軟,將對(duì)微軟網(wǎng)站發(fā)動(dòng)拒絕服務(wù)式攻擊。瑞星技術(shù)服務(wù)部門(mén)27日通過(guò)國(guó)內(nèi)病毒監(jiān)測(cè)網(wǎng)監(jiān)測(cè)到1000多封攜帶該病毒的用戶(hù)郵件,而1月29日已經(jīng)上升至4000多封,并有急劇增長(zhǎng)的趨勢(shì)。
據(jù)瑞星反病毒工程師分析,該病毒變種的技術(shù)特性與“SCO炸彈相似”,利用病毒郵件的大量傳播感染用戶(hù)電腦,把感染的電腦當(dāng)作代理服務(wù)器針對(duì)特定網(wǎng)址發(fā)送拒絕服務(wù)式攻擊,這種攻擊方式目前沒(méi)有有效的預(yù)防措施。和“SCO炸彈”一樣,該病毒變種不會(huì)感染以EDU結(jié)尾的郵件地址,盡管病毒編寫(xiě)者的主要目的是為了攻擊微軟和SCO公司,但由于帶毒郵件的大量傳播會(huì)消耗網(wǎng)絡(luò)資源,并對(duì)系統(tǒng)設(shè)置后門(mén),對(duì)普通用戶(hù)的正常使用造成很大安全風(fēng)險(xiǎn)。
病毒的特性、發(fā)現(xiàn)與清除:
1. 該病毒是蠕蟲(chóng)型病毒,采用upx壓縮,病毒體大小為29,184字節(jié)。
2. 病毒運(yùn)行時(shí)會(huì)釋放后門(mén)程序?yàn)椋?span lang="EN-US">%System%\Ctfmon.dll,該后門(mén)程序使用以下TCP端口: 80、 1080、 3128、8080、10080,該后門(mén)可以下載或執(zhí)行任何有害代碼?蓪⒃摬《疚募苯觿h除。
注意:%system%是一個(gè)變量,它指的是操作系統(tǒng)安裝目錄中的系統(tǒng)目錄,默認(rèn)是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒運(yùn)行時(shí)會(huì)在%Temp%目錄中生成一個(gè)和記事本一樣圖標(biāo)的隨機(jī)病毒文件,并自動(dòng)調(diào)用記事本程序來(lái)打開(kāi)它,從而顯示一些偽裝信息。
注意:%Temp%是一個(gè)變量,它指的是操作系統(tǒng)安裝目錄中的臨時(shí)目錄,默認(rèn)是:“C:\Windows\temp”或:“c:\Winnt\temp”。
4. 病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為:%System%\Explorer.exe,目的是冒充系統(tǒng)的資源管理器,但系統(tǒng)的資源管理器是在%Windir%目錄,而不是在%System%目錄,廣大計(jì)算機(jī)用戶(hù)要注意分辨。可將該病毒文件直接刪除。
注意::%Windir%是一個(gè)變量,它指的是操作系統(tǒng)安裝目錄,默認(rèn)是:“C:\Windows”或:“c:\Winnt”,也可以是用戶(hù)在安裝操作系統(tǒng)時(shí)指定的其它目錄。
5. 病毒運(yùn)行時(shí)如果發(fā)現(xiàn)有任務(wù)管理器程序(taskmon.exe)正在運(yùn)行,則會(huì)立刻將該程序關(guān)閉,目的是防止用戶(hù)查看內(nèi)存中的病毒進(jìn)程。
6. 病毒運(yùn)行時(shí)會(huì)修改注冊(cè)表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒鍵值:"(Default)" = "%System%\ctfmon.dll",目的是替換系統(tǒng)中的默認(rèn)瀏覽器程序,使用戶(hù)一打開(kāi)瀏覽器,就能自動(dòng)執(zhí)行病毒?梢杂米(cè)表編輯工具(regedit.exe)將該病毒鍵值直接刪除。
7. 病毒會(huì)修改注冊(cè)表的自啟動(dòng)項(xiàng):
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在其中加入病毒鍵值:"Explorer" = "%System%\Explorer.exe",目的是開(kāi)機(jī)時(shí)可以自動(dòng)運(yùn)行病毒?梢杂米(cè)表編輯工具(regedit.exe)將該病毒鍵值直接刪除。
8. 病毒會(huì)修改系統(tǒng)的HOST文件,使用戶(hù)無(wú)法正常登陸下列網(wǎng)站:
• ad.doubleclick.net
• ad.fastclick.net
• ads.fastclick.net
• ar.atwola.com
• atdmt.com
• avp.ch
• avp.com
• avp.ru
• awaps.net
• banner.fastclick.net
• banners.fastclick.net
• ca.com
• click.atdmt.com
• clicks.atdmt.com
• dispatch.mcafee.com
• download.mcafee.com
• download.microsoft.com
• downloads.microsoft.com
• engine.awaps.net
• fastclick.net
• f-secure.com
• ftp.f-secure.com
• ftp.sophos.com
• go.microsoft.com
• liveupdate.symantec.com
• mast.mcafee.com
• mcafee.com
• media.fastclick.net
• msdn.microsoft.com
• my-etrust.com
• nai.com
• networkassociates.com
• office.microsoft.com
• phx.corporate-ir.net
• secure.nai.com
• securityresponse.symantec.com
• service1.symantec.com
• sophos.com
• spd.atdmt.com
• support.microsoft.com
• symantec.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• vil.nai.com
• viruslist.ru
• windowsupdate.microsoft.com
• www.avp.ch
• www.avp.com
• www.avp.ru
• www.awaps.net
• www.ca.com
• www.fastclick.net
• www.f-secure.com
• www.kaspersky.ru
• www.mcafee.com
• www.microsoft.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.ru
• www3.ca.com
9. 病毒會(huì)在指定日期內(nèi),對(duì)www.microsoft.com和www.sco.com兩個(gè)網(wǎng)站進(jìn)行DoS攻擊,如果攻擊成功,將會(huì)導(dǎo)致這兩個(gè)網(wǎng)站癱瘓,無(wú)法向用戶(hù)提供服務(wù)。
10. 病毒運(yùn)行時(shí)會(huì)搜索以下類(lèi)型:.htm、.sht 、.php 、 .asp 、.dbx 、.tbb 、.adb 、.pl 、.wab 、.txt的文件,在其中尋找有效的郵件地址,然后向這些地址發(fā)送病毒郵件。
11. 病毒郵件的附件是病毒體,采用雙后綴形式來(lái)迷惑用戶(hù),常用的后綴為:.htm、.txt、.doc
12. 病毒郵件為以下內(nèi)容:
病毒郵件的標(biāo)題可能為:
Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
病毒郵件的正文可能為:
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
13. 該病毒能通過(guò)一些P2P共享軟件進(jìn)行傳播,病毒運(yùn)行時(shí)會(huì)將自身拷貝到Kazaa軟件的下載目錄下,共命名為:
• icq2004-final
• Xsharez_scanner
• BlackIce_Firewall_Enterpriseactivation_crack
• ZapSetup_40_148
• MS04-01_hotfix
• Winamp5
• AttackXP-1.26
• NessusScan_pro
誘惑該軟件的其它用戶(hù)點(diǎn)擊,從而達(dá)到傳播的目的。
專(zhuān)殺工具:
瑞星專(zhuān)殺工具:http://download.rising.com.cn/zsgj/RavNovarg.exe
金山專(zhuān)殺工具:http://download01.duba.net/download/othertools//Duba_Novarg.EXE
諾頓專(zhuān)殺工具:http://down.tech.sina.com.cn/cgi-bin/download.cgi?s_id=10374&href=0