“中国一号”(尼姆达)及其变种网络蠕虫大面积流行(江民发来得东西) - 弹指一挥间,世界皆互联 - 杨海峰

(这条文章已经被阅读了 175 次) 时间:2001-11-04 13:21:30 来源:杨海峰 (杨海峰) 原创-IT

  “中国一号”网络蠕虫根据病毒体内特有的标记“R.P.China Version 1.0,特将其命名为:
I-WORM/CHINA-1#“中国一号”网络蠕虫。特此说明,病毒体内有此标记,不等于就是中国人编写的病毒,现也有称为Nimda“尼姆达”病毒的,但病毒体内无此标记。
  Nimda“尼姆达”变种病毒该病毒是原来的“中国一号”病毒的变种,修改了原来病毒的一些错误(BUG)并且对病毒程序做了一些修改,目的是防止一些反病毒软件来查杀。变种病毒体内有以下的字符串:
Concept Virus(CV) V.6, Copyright(C)2001, (This’s CV, No Nimda.)
该病毒声明它不称为“Nimda尼姆达”病毒。
  变种蠕虫程序使用了不同的文件名称以及文件的大小都是不同的。

  该病毒特性如下:

  病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。

  当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染,该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。

  在这以前,反病毒专家先前早已预料过、微软的信件浏览器非常脆弱,漏洞很严重,也很多,很快就会出现许多针对其弱点而具有高超传染能力的病毒。

  这些网络蠕虫的就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。

  病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病毒文件,其字节数为:57344字节。

  在功能的设计上,新的变种和原来的“中国一号”病毒相同,变种的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是:57344字节。而且释放的DLL的文件名称由admin.dll变成了Httpodbc.dll, 该程序在合法的WINDOWS系统下有该程序,该程序是在INTERNET网络上通讯使用的;原来拷贝到WINDOWS的SYSTEM目录下的文件是Mmc.exe,现在修改成为了Csrss.exe 文件。该文件的作用同样是病毒用来感染局域网络的;Csrss文件是”client-server runtime subsystem”(客户端-服务器实时子系统的简称); 在合法的WINDOWS系统下有该文件,该文件的作用是在控制台下建立删除线程使用的。

  变种网络蠕虫的破坏作用仍然是大量发送EMAIL邮件,邮件附件的名称是Sample.exe。

  当然在邮件中是看不到该附件的。

  病毒传染Html、nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。

  病毒还找出Email地址发送病毒本身,即附件长度约为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。

  病毒还对SYSTEM.INI修改,在[boot]组下的

  shell=explorer.exe load.exe -dontrunold,

  这样在系统每次启动时该病毒就会传染,驻留内存。

  病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\…并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\INETPUB\Scripts或WINDOWS\TEMP目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。

  变种网络蠕虫有4种传播方式:

  (1)通过EMAIL发送在客户端看不到的邮件附件程序Sample.exe,该部分利用了微软的OE信件浏览器的漏洞;

  (2)通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电脑时,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传播;

  (3)通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;

  (4)通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。

  实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防, 这是我们日常工作的习惯性的问题,或者说不是问题,但是病毒利用了我们的”问题”。

  病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的IIS服务器上; 同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。

  该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址:

  http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

  而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞的下载地址:

  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

  当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。

  在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。

  该病毒感染的文件是在系统的注册表键值下的:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE文件.

  病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的system目录下。在该机器共享的机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为:

  HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]

  当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。

  该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。

  该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是:

  mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都 是系统隐含文件属性。

  病毒存在的现象:

  (1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节;

  (2)EMAIL文件readme.eml文件的存在,该文件长度约是79225字节,实际上是病毒文件的EMAIL表现形式;

  (3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。

  (4)该病毒存在的文件名称可能是以下的几种:
load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll;

  (6)为了隐含文件,病毒修改了以下的系统注册表:

  HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

  HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

  HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

  在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security

  (7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:

  EMAIL的主题是变化的、不确定的;

  信件的内容是空的,没有任何内容;

  附件的文件是变化的,并且是使用了IE的HTML格式的图标.

  该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了.

  病毒的清除:

  1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本, 该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。

  方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。

  2 如果用户硬盘装的系统是WINDOWS 98 以下,也可使用干净DOS软盘启动机器;

  3 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?

  请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。

  4 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。

  5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。

  地址是:

  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。

  6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。

  7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区

  8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:

  http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

  9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。
10 开启KVW3000实时监测病毒防火墙。

  11、再将邮箱中的带毒邮件一一删除,否则又会重复感染。

  该病毒传播能力极强,必须加强防范。