首 页健康生活新 闻留 言骗 子美女图片网络安全论 坛问吧注册码大全bt资源
张筱雨人体艺术   汤芳人体艺术  汤加丽人体艺术  石靖人体艺术   刘亦菲人体艺术   汤唯人体艺术  张柏芝人体艺术   人体艺术摄影
网络安全知识        Knowledge of network security
                                           Small knowledge of computer security,Computer knowledge
首页
您当前的位置:地球村网络安全病毒知识 → 新频道内容 设为首页   加入收藏   联系我们
红码变种Codered.F蠕虫分析
作者:admin  来源:本站原创  发布时间:2007-8-1 8:49:54
瑞星杀毒软件2008版,是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。
瑞星08独创的“帐号保险柜”基于“主动防御”构架开发,可保护上百种流行软件的帐号,包括70 多款热门网游,30多种股票、网上银行类软件,QQ 、MSN等常用聊天工具及下载软件等。
同时,瑞星08采用"木马强杀"、"病毒DNA 识别"、"主动防御"、"恶意行为检测"等大量核心技术,
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀数十万种木马,拥有海量木马病毒库,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰
卡巴斯基单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序,时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术

3月13日,XFOCUS成员从设置的陷阱网络上监控捕获到Codered的蠕虫变种,该变种由反病毒公司命名为Codered.F。XFOCUS对该蠕虫进行了分析,该蠕虫的GET请求附录在下面。

病毒名称:Codered.F
病毒类型:蠕虫
受感染的系统:
    病毒的攻击的对象为安装了IIS的Windows NT/2000系统,并且仅仅影响没有打微软的MS01-033补丁的IIS服务器。

病毒详细技术分析:

    CodeRed.F利用微软IIS远程缓冲区溢出漏洞获取系统权限实施攻击,并在这个被感染的Web服务器上安装一个后门程序,使得攻击者对被感染系统具有完全的访问权限,因此,一旦遭受感染,网络安全就会受到严重威胁。
   
    CodeRed.F通过IIS服务器的idq缓冲区溢出漏洞在WEB服务器上安装并繁衍,只有没有安装最后的IIS service pack的系统才会受影响。

    当WEB服务器受感染后,蠕虫将执行下面操作:
1、调用初始化程序,在IIS Server服务进程空间中找到Kernel32.dll的基地址;
2、接着查找GetProcAddress的地址;
3、调用GetProcAddress,并访问其他API的地址,包括:LoadLibrayA、CreateThread、GetSystemTime等

    然后蠕虫加载WS2_32.dll并调用相关的TCP/IP函数,比如socket等,在从User32.dll中调用ExitWindowsEx函数以便重新启动系统。

蠕虫的主线程检查两个标识:
1、"29A",这个用来控制随蠕虫的后门木马的安装;
2、另一个是"CodeRedll",如果该信号存在,那么蠕虫将进入无限制的休眠。

    蠕虫的主线程还会检查系统的默认语言,如果默认语言是中文(Taiwan或者PRC),就会创建600个新的扫描线程,否则就创建300个扫描线程,这些线程根据随机产生的IP地址扫描新的主机,并试图感染。在这些扫描线程创建时,蠕虫的主线程复制Cmd.exe到下面的地方:

C:\Inetpub\Scripts\Root.exe
D:\Inetpub\Scripts\Root.exe
C:\Progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe

    蠕虫在主机中安装的后门会在注册表中添加下面内容:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots

    通过该修改,并将用户组设置为217,那么黑客就可以通过WEB服务器用HTTP的GET请求在服务器上执行scripts/root.exe 程序。

    蠕虫的主线程会在中文系统上休眠48小时,而其他系统则休眠24小时。而那些扫描线程仍然继续运行,并试图去感染其他主机。当蠕虫的主线程重新苏醒的时候,会重新启动主机。同时,所有的线程会检查是否是十月或者以后,以及年份是否大于34951,如果是,那么系统就被重新启动。

    该蠕虫复制的cmd.exe程序到IIS的默认可执行目录下,那么就允许进行远程控制。同时它也会设置C:\Explorer.exe和D:\Explorer.exe属性为隐藏、系统文件和只读文件。

    主机被感染24或者48小时后,系统会被重新启动,相同的主机可能被重复感染,除非安装了最新的补丁。如果月份是十月或者以后,以及年份是否大于34951,那么系统也会被重新启动。当系统重新启动后,木马就在系统执行Explorer.exe的时候运行起来。C:\Explorer.exe木马先休眠几分钟,然后重新设置键值并确认。

    注意:当重新启动后,内存中原本驻留的蠕虫就不存在了,那么它将不会重新去感染其他主机,除非该主机又被重新感染。

木马会修改注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
并将SFCDisable设置为0xFFFFFF9D.

这个修改会禁止系统文件检查保护(SFC)

注意:如果在运行Microsoft FrontPage  或者其他WEB编辑程序,IIS可能会被重新安装。


蠕虫手工解决办法:

1、杀掉木马的进程。

     在进程管理器中,可以看见两个Exploere.exe进程,其中一个是合法的,另一个则是木马进程。要确认哪个是木马进程,请在查看——选择列中选择上线程数。这时你可以看见只有1个线程的Exploere.exe进程,这个就是木马的进程。请终止该进程的运行。

2、删除Exploere.exe文件。这些文件有隐藏、系统文件和只读文件属性。请运行cmd.exe,并执行下面的命令:

cd c:\
attrib -h -s -r explorer.exe
del explorer.exe

cd d:\
attrib -h -s -r explorer.exe
del explorer.exe

3、删除下面的文件(可能存在):

C:\Inetpub\Scripts\Root.exe
D:\Inetpub\Scripts\Root.exe
C:\Progra~1\Common~1\System\MSADC\Root.exe
D:\Progra~1\Common~1\System\MSADC\Root.exe

4、在IIS管理器中,删除C、D或者其他驱动器根的虚拟目录


5、删除注册表的相关项。

    在注册表的下面位置:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots

    删除其中的键为/C和/D的内容,双击/MSADC和/Scripts,删除其中的数字217,并修改为201。

    在注册表的下面位置:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

    双击键SFCDisable,修改其中的内容为0。

6、重新启动系统。清除内存中的蠕虫。


解决方案:

    为避免被蠕虫感染,请用户到以下链接下载微软针对该漏洞的安全补丁:
    MS01-033 patch (http://www.microsoft.com/technet/security/bulletin/MS01-033.asp)
    MS01-044patch (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp)
注:微软的Service Pack 3已经包含了该补丁。


附蠕虫HTTP请求对ida的GET溢出请求(蠕虫后面的内容屏蔽):

Content-length: 3379

47 45 54 20 2f 64 65 66 61 75 6c 74 2e 69 64 61 3f 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 58 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 36 38 35 38 25 75 63 62 64 33 25 75 37 38 30 31 25 75 39 30 39 30 25 75 39 30 39 30 25 75 38 31 39 30 25 75 30 30 63 33 25 75 30 30 30 33 25 75 38 62 30 30 25 75 35 33 31 62 25 75 35 33 66 66 25 75 30 30 37 38 25 75 30 30 30 30 25 75 30 30 3d 61 20 20 48 54 54 50 2f 31 2e 30 0d 0a

即:GET /default.ida?XXXXXXXXXXXXXXXXXXXXX……
[ ] [返回上一页] [打 印]
Copyright © 2007 Diqiuc.Com. All Rights Reserved .豫ICP备07001840 Powered by Diqiuc.Com