发信人: emil(稻草人)
整理人: emil(2002-10-27 14:40:18), 站内信件
|
Worm.Win32.Opasoft资料
资料来源:www.avp.ch
翻译整理:金山毒霸咨询论坛
整理时间:2002/10/4 10时28分
整理人:virus2001
这是一个带有木马程序的蠕虫病毒,该病毒通过微软Windows操作系统的NETBIOS服务在局域网和互联网传播。蠕虫体为长度28KB的PE格式文件。
这个病毒在2002年9月低被发现,10月初已经在全球范围内传播。
安装
蠕虫一旦运行,会自动Windows目录下创建一个名为“scrsvr.exe”的副本,并且修改注册表的自启动项:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = %worm name%
然后蠕虫将删除原来的病毒体,而用scrsvr.exe启动。
传播
蠕虫通过使用137端口(NetBIOS Name服务)来搜索网络上的计算机。下列子网将被扫描:
1、当前被感染的计算机的子网,比如本机的IP地址为192.168.10.1,则在192.168.10子网的计算机都将被搜索。
2、当前被感染的计算机的两个邻近子网,即若本机地址为192.168.10.1,则扫描192.168.9子网和192.168.11子网。
3、随机选择的子网(除了那些被“禁止”扫描的机器)。
如果扫描的IP地址有回应的话,也就是说那个IP地址有一台真实的计算机存在,病毒也会扫描那个IP地址的两个邻近子网。
当“回复数据”被接收回来,病毒将数据包中的特定区域,如果发现特定区域包含有效的“File and Print Sharing” (文件和打印共享)服务,病毒就开始执行感染程序。
感染程序通过使用139端口(NETBIOS Session 服务)发给那个IP地址一个特殊的SMB(服务器信息块)信息包,信息包将引发下列的后果:
蠕虫将和目标(受害)的机器的\\hostname\C建立确定的连接(其中hosthome是受害机器的主机名称,蠕虫从“回复数据”中取得这个信息。)如果资源加了密码的话,则病毒用一位长度的字符测试(暴力法攻击)。
一旦连接成功,则蠕虫会自动发送自身的EXE文件,数据包中也包含该文件的目的地:WINDOWS\scrsvr.exe。
蠕虫会把受害机器的Win.ini文件另存为C:\TMP.ini放在本地(被感染)的机器上,并加入自启动的语句(即run=…),然后再发回目标(受害)的机器。这样做的结果使得目标(受害)机生成如下两个文件:
\WINDOWS\scrsvr.exe - 蠕虫的复本
\WINDOWS\win.ini - 带有自动启动蠕虫指令的Win.ini文件
这样当目标(受害)受害机下次重新启动计算机的时候就启动了蠕虫,从而也被感染。
木马后门
蠕虫病毒的后门部分将访问www.opasoft.com 站点,并进行如下的操作:
1、 从该网站下载新版本的蠕虫程序(如果网站存在新版本)并运行。新下载的蠕虫病毒将以“scrupd.exe”的文件名保存,然后新蠕虫将运行并替换老版本的蠕虫。
2、 下载并执行放在该网站上的脚本程序,执行脚本将用到它的"ScrSin.dat"和"ScrSout.dat"两个数据文件,这些文件用“strong crypto algotythm”加密。
由于www.opasoft.com服务器已经关闭,所以我们无法得到更多有关于该后门的更多信息。
技术信息
为了避免被重复加载,在相同的机器上,蠕虫会以"ScrSvr31415" 的名称创建Windows互斥(原文mutex)。
该病毒可以感染Win9X的机器,在WinNT的机器上几乎不感染。
某一版本的蠕虫会写把被感染的计算机记录到“ScrLog”和“ScrLog2”日志文件中。
清除方法
病毒能够在Win9X上大面积传染是因为:
1、 借助了标准的NETBIOS协议。
2、 “\\hostname\C”共享,并且没有加密码。
3、 许多用户对密码长度和安全不够重视。
清除病毒并防止其再次感染方法:
1、 关闭共享,或者给共享设置足够安全的密码。
2、 删掉EXE病毒体。
3、 修改Win.ini文件和注册表的相关项目(见上)。
---- 谨代表个人观点,如有异议或疑问,欢迎提出,我们互相学习,共同进步,谢谢!
电脑病毒版版主 稻草人(Emil)
网易(广州)社区电脑病毒版
金山毒霸安全资讯论坛 病毒与防护讨论版
http://cnav.126.com
Email: [email protected]
QQ:201604
MSN Messenger: [email protected] |
|