Worm.Win32.MS08-067.d病毒分析报告
来源:瑞星公司 时间:2009-03-31 15:03:35
这是一个利用微软漏洞进行传播的蠕虫病毒。它利用微软操作系统的MS08-067漏洞,将自己植入未打补丁的电脑,并以局域网、U盘等多种方式传播。
1、首先病毒会判断系统版本是否是 Win2000或 WinXP 以上系统,如果是病毒才继续执行;
2、给病毒所在进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的;
3、判断是否能找到"svchost.exe -k netsvcs" 或者explorer.exe 进程,将自己代码放到那两个中的一个里面去,然后修改注册表不显示隐藏文件;
4、针对services.exe、"svchost.exe -k netsvcs"、"svchost.exe -k NetworkService"进程进行DNS查询以及TCP传输过程拦截;
5、针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站;
6、停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动;
7、枚举网络计算机的用户名和自带的密码表,利用 IPC$? ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动,创建自身到 RECYCLER、System32文件夹下面,尝试访问 http://www.getmyip.org等网站得到中毒计算机的IP。通过访问http://www.google.com、http://www.baidu.com等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接,方便病毒作者不更新。
3、局域网中计算机统一规定不能使用弱密码或者空密码(更多安全知识参见“ 瑞星安全频道”);
|
安全文摘 