返回列表 发帖
h24arb 该用户已被删除
楼主 跳转到 » 倒序看帖
打印
tT
h24arb发表于 2005-12-22 11:15 | 只看该作者

[转帖]警惕最新DIY蠕虫 Net-Worm.Win32.Dasher(黛蛇)

转帖:警惕最新DIY蠕虫 Net-Worm.Win32.Dasher(黛蛇)
来自安天实验室:
http://www.antiy.com/index.htm
内容:
   本周提醒广大用户注意一个最新DIY网络蠕虫:Net-Worm.Win32.Dasher(黛蛇),该病毒已经在最近几天内迅速出现多个变种。最新变种除了利用MS05-051外,还利用MS04-045、MS05-039、MSSQL-Hello等漏洞传播,受威胁的系统为:Windows 2000、Windows XP、Windows 2003。
  病毒运行后会释放病毒相关文件到%system%、%program files%目录下,修改注册表文件,添加服务等。
以下是病毒释放的相关文件:
%System%\wins\Result.txt        结果文件
%System%\wins\SqlExp.exe        Exploit.Win32.MS04-045.k   
%System%\wins\SqlExp1.exe       Exploit.Win32.MS05-039.ac   
%System%\wins\SqlExp2.exe       Exploit.Win32.MS05-051.d   
%System%\wins\SqlExp3.exe       Exploit.Win32.MSSQL-Hello.a
%System%\wins\SqlScan.exe       NetTool.Win32.TCPPortScanner
%System%\wins\Sqltob.exe        Net-Worm.Win32.Dasher.b     
%ProgramFiles%\nzspfrwy.log     keylog文件                  
%ProgramFiles%\nzspfrwy.dll     Backdoor.Win32.PcClient.ij  
%ProgramFiles%\nzspfrwy.dl1     Backdoor.Win32.PcClient.hp  
%ProgramFiles%\nzspfrwy.sys     Backdoor.Win32.PcClient.ij  
其中文件nzspfrwy.sys驱动HOOK系统SSDT来隐藏nzspfrwy*文件。第一次运行将nzspfrwy.dll插入到svchost进程,并启动一个隐藏的IE进程与远程主机通信。SqlScan.exe、SqlExp*.exe功能为扫描目标主机、溢出主机。
以下是病毒对注册表的操作:
新键键值:
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
 键名:SMBDeviceEnabled
 键值:dword:00000000
修改键值:
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
 键名:Start
 修改为:dword:00000004
 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters
 键名:ServiceDll
 修改为:%ProgramFiles%\nzspfrwy.dll
病毒还会增加如下服务:
  服务名称:nzspfrwy
 显示名称:nzspfrwy
 执行文件路径:C:\Program Files\nzspfrwy.sys
解决方案: (本预警以WIN2000 PRO版为例)
1、任务管理器结束:Sqltob.exe、SqlScan.exe进程。
2、删除%System%\wins下对应文件。
3、修改注册表键停止内核驱动:
 开始→运行:regedit.exe
 定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nzspfrwy
 修改Startdword值为4,重启动系统。
4、重启动后,会在任务管理器中看到没有被隐藏的IE进程,该进程无法用任务管理器结束,可以用ntsd -cq -p pid 结束。
删除%ProgramFiles%\对应的病毒文件。
5、删除残余服务表项:
SC delete nzspfrwy
用注册表编辑器删除此键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NZSPFRWY
6、恢复HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters表项:
 键名:ServiceDll
 病毒键值:%ProgramFiles%\nzspfrwy.dll
 恢复为:%SystemRoot%\system32\rpcss.dll
7、升级系统补丁。
8、在防火墙中屏蔽如下端口:
 42
 445
 1025
 1433
安天应急处理小组郑重提醒广大用户:
1.及时安装系统补丁。
2.不要随意点击来自论坛和即时通讯工具的连接,更不要执行远方传输来的可执行程序,不要轻信相关说明,形成二次传播。
3.使用安天木马防线2005+,木马防线全自动升级,可以为你的系统提供透明的保护。
附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀: 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
收藏 分享

返回列表 回复 发帖