|
发信人: emil(稻草人) 整理人: emil(2002-10-27 14:40:18), 站内信件 |
| Worm.Win32.Opasoft资料
资料来源:www.avp.ch 翻译整理:金山毒霸咨询论坛 整理时间:2002/10/4 10时28分 整理人:virus2001 这是一个带有木马程序的蠕虫病毒,该病毒通过微软Windows操作系统的NETBIOS服务在局域网和互联网传播。蠕虫体为长度28KB的PE格式文件。 这个病毒在2002年9月低被发现,10月初已经在全球范围内传播。 安装 蠕虫一旦运行,会自动Windows目录下创建一个名为“scrsvr.exe”的副本,并且修改注册表的自启动项: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ScrSvr = %worm name% 然后蠕虫将删除原来的病毒体,而用scrsvr.exe启动。 传播 蠕虫通过使用137端口(NetBIOS Name服务)来搜索网络上的计算机。下列子网将被扫描: 1、当前被感染的计算机的子网,比如本机的IP地址为192.168.10.1,则在192.168.10子网的计算机都将被搜索。 2、当前被感染的计算机的两个邻近子网,即若本机地址为192.168.10.1,则扫描192.168.9子网和192.168.11子网。 3、随机选择的子网(除了那些被“禁止”扫描的机器)。 如果扫描的IP地址有回应的话,也就是说那个IP地址有一台真实的计算机存在,病毒也会扫描那个IP地址的两个邻近子网。 当“回复数据”被接收回来,病毒将数据包中的特定区域,如果发现特定区域包含有效的“File and Print Sharing” (文件和打印共享)服务,病毒就开始执行感染程序。 感染程序通过使用139端口(NETBIOS Session 服务)发给那个IP地址一个特殊的SMB(服务器信息块)信息包,信息包将引发下列的后果: 蠕虫将和目标(受害)的机器的\\hostname\C建立确定的连接(其中hosthome是受害机器的主机名称,蠕虫从“回复数据”中取得这个信息。)如果资源加了密码的话,则病毒用一位长度的字符测试(暴力法攻击)。 一旦连接成功,则蠕虫会自动发送自身的EXE文件,数据包中也包含该文件的目的地:WINDOWS\scrsvr.exe。 蠕虫会把受害机器的Win.ini文件另存为C:\TMP.ini放在本地(被感染)的机器上,并加入自启动的语句(即run=…),然后再发回目标(受害)的机器。这样做的结果使得目标(受害)机生成如下两个文件: \WINDOWS\scrsvr.exe - 蠕虫的复本 \WINDOWS\win.ini - 带有自动启动蠕虫指令的Win.ini文件 这样当目标(受害)受害机下次重新启动计算机的时候就启动了蠕虫,从而也被感染。 木马后门 蠕虫病毒的后门部分将访问www.opasoft.com 站点,并进行如下的操作: 1、 从该网站下载新版本的蠕虫程序(如果网站存在新版本)并运行。新下载的蠕虫病毒将以“scrupd.exe”的文件名保存,然后新蠕虫将运行并替换老版本的蠕虫。 2、 下载并执行放在该网站上的脚本程序,执行脚本将用到它的"ScrSin.dat"和"ScrSout.dat"两个数据文件,这些文件用“strong crypto algotythm”加密。 由于www.opasoft.com服务器已经关闭,所以我们无法得到更多有关于该后门的更多信息。 技术信息 为了避免被重复加载,在相同的机器上,蠕虫会以"ScrSvr31415" 的名称创建Windows互斥(原文mutex)。 该病毒可以感染Win9X的机器,在WinNT的机器上几乎不感染。 某一版本的蠕虫会写把被感染的计算机记录到“ScrLog”和“ScrLog2”日志文件中。 清除方法 病毒能够在Win9X上大面积传染是因为: 1、 借助了标准的NETBIOS协议。 2、 “\\hostname\C”共享,并且没有加密码。 3、 许多用户对密码长度和安全不够重视。 清除病毒并防止其再次感染方法: 1、 关闭共享,或者给共享设置足够安全的密码。 2、 删掉EXE病毒体。 3、 修改Win.ini文件和注册表的相关项目(见上)。 ---- 谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢! 电脑病毒版版主 稻草人(Emil) 网易(广州)社区电脑病毒版 金山毒霸安全资讯论坛 病毒与防护讨论版 
http://cnav.126.com Email: [email protected] QQ:201604 MSN Messenger: [email protected] |
|
[关闭][返回] |