精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>Worm.Win32.Opasoft资料

主题:Worm.Win32.Opasoft资料
发信人: emil(稻草人)
整理人: emil(2002-10-27 14:40:18), 站内信件
Worm.Win32.Opasoft资料

资料来源:www.avp.ch 
翻译整理:金山毒霸咨询论坛 
整理时间:2002/10/4 10时28分 
整理人:virus2001

这是一个带有木马程序的蠕虫病毒,该病毒通过微软Windows操作系统的NETBIOS服务在局域网和互联网传播。蠕虫体为长度28KB的PE格式文件。 
这个病毒在2002年9月低被发现,10月初已经在全球范围内传播。 

安装 
蠕虫一旦运行,会自动Windows目录下创建一个名为“scrsvr.exe”的副本,并且修改注册表的自启动项: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
  ScrSvr = %worm name% 
然后蠕虫将删除原来的病毒体,而用scrsvr.exe启动。 

传播 
蠕虫通过使用137端口(NetBIOS Name服务)来搜索网络上的计算机。下列子网将被扫描: 
1、当前被感染的计算机的子网,比如本机的IP地址为192.168.10.1,则在192.168.10子网的计算机都将被搜索。 
2、当前被感染的计算机的两个邻近子网,即若本机地址为192.168.10.1,则扫描192.168.9子网和192.168.11子网。 
3、随机选择的子网(除了那些被“禁止”扫描的机器)。 

如果扫描的IP地址有回应的话,也就是说那个IP地址有一台真实的计算机存在,病毒也会扫描那个IP地址的两个邻近子网。 
当“回复数据”被接收回来,病毒将数据包中的特定区域,如果发现特定区域包含有效的“File and Print Sharing” (文件和打印共享)服务,病毒就开始执行感染程序。 
感染程序通过使用139端口(NETBIOS Session 服务)发给那个IP地址一个特殊的SMB(服务器信息块)信息包,信息包将引发下列的后果: 
蠕虫将和目标(受害)的机器的\\hostname\C建立确定的连接(其中hosthome是受害机器的主机名称,蠕虫从“回复数据”中取得这个信息。)如果资源加了密码的话,则病毒用一位长度的字符测试(暴力法攻击)。 
一旦连接成功,则蠕虫会自动发送自身的EXE文件,数据包中也包含该文件的目的地:WINDOWS\scrsvr.exe。 
蠕虫会把受害机器的Win.ini文件另存为C:\TMP.ini放在本地(被感染)的机器上,并加入自启动的语句(即run=…),然后再发回目标(受害)的机器。这样做的结果使得目标(受害)机生成如下两个文件: 
\WINDOWS\scrsvr.exe  - 蠕虫的复本 
\WINDOWS\win.ini     - 带有自动启动蠕虫指令的Win.ini文件 
这样当目标(受害)受害机下次重新启动计算机的时候就启动了蠕虫,从而也被感染。 

木马后门 
蠕虫病毒的后门部分将访问www.opasoft.com 站点,并进行如下的操作: 
1、    从该网站下载新版本的蠕虫程序(如果网站存在新版本)并运行。新下载的蠕虫病毒将以“scrupd.exe”的文件名保存,然后新蠕虫将运行并替换老版本的蠕虫。 
2、    下载并执行放在该网站上的脚本程序,执行脚本将用到它的"ScrSin.dat"和"ScrSout.dat"两个数据文件,这些文件用“strong crypto algotythm”加密。 

由于www.opasoft.com服务器已经关闭,所以我们无法得到更多有关于该后门的更多信息。 

技术信息 
为了避免被重复加载,在相同的机器上,蠕虫会以"ScrSvr31415" 的名称创建Windows互斥(原文mutex)。 
该病毒可以感染Win9X的机器,在WinNT的机器上几乎不感染。 
某一版本的蠕虫会写把被感染的计算机记录到“ScrLog”和“ScrLog2”日志文件中。 

清除方法 
病毒能够在Win9X上大面积传染是因为: 
1、    借助了标准的NETBIOS协议。 
2、    “\\hostname\C”共享,并且没有加密码。 
3、    许多用户对密码长度和安全不够重视。 

清除病毒并防止其再次感染方法: 
1、    关闭共享,或者给共享设置足够安全的密码。 
2、    删掉EXE病毒体。 
3、    修改Win.ini文件和注册表的相关项目(见上)。 



----
谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
电脑病毒版版主 稻草人(Emil)
网易(广州)社区电脑病毒版
金山毒霸安全资讯论坛 病毒与防护讨论版

聊毒斋
http://cnav.126.com
Email: [email protected]
QQ:201604
MSN Messenger: [email protected]              

[关闭][返回]