首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2004-10)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

利用MSN Messenger和QQ傳播的蠕蟲“funny”正在流傳

發布日期:2004-10-11


受影響的軟件及系統:
====================
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

綜述:
======
綠盟科技安全小組監測到互聯網上出現了一個利用MSN Messenger和QQ傳播的蠕蟲,目前在國內的傳播面比較大。由于該蠕蟲修改了重要的注冊表鍵值,不恰當地清除蠕蟲可能導致系統無法登陸。

分析:
======
該蠕蟲在系統上運行后,會進行以下動作:

1、將自身拷貝為:
%SystemRoot%\rundll32.exe
%SystemRoot%\system32\IEXPLORE.EXE
%SystemRoot%\system32\explorer.exe
%SystemRoot%\system32\userinit32.exe

2、修改注冊表,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的“Userinit”修改為指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加運行%SystemRoot%\rundll32.exe的項。

3、修改%system32%\drivers\etc\hosts文件,將大量域名指向222.89.98.219,這樣,用戶訪問這些域名的時候,實際訪問的是222.89.98.219。

4、蠕蟲會同時運行自身的多個拷貝,如果其中一個進程被中止,則其余進程會立即將它再運行。

5、如果系統運行了QQ或者MSN Messenger,蠕蟲會向每一個聯系人發送一條消息,包括一句話和一個指向http://www.78p.com/的鏈接,并試圖將自身以文件“funny.exe”傳輸。

解決方法:
==========
預防:

如果您接收到包含http://www.78p.com/的消息,和funny.exe的文件傳輸請求,請拒絕。

檢查是否被感染:

檢查系統中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,則說明可能已經被蠕蟲感染。

清除:

對于Windows 2000/XP,請按照下面步驟進行:

1、在命令提示符中輸入下列命令,將蠕蟲改名:
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir

2、修改注冊表,將HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改為%SystemRoot%\system32\userinit.exe。

3、重啟系統

4、在命令提示符中輸入下列命令,刪除蠕蟲文件:
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir

4、修改注冊表,刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"項。

5、在命令提示符中輸入下列命令,修復hosts文件:
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts
del hosts.tmp

如果已經不恰當地刪除了蠕蟲,并導致系統無法正常登陸。請按照如下步驟進行:

1、用Windows 2000(或者Windows XP/2003)安裝光盤引導系統,在“歡迎使用安裝程序”的界面上按“R”鍵,選擇修復。

2、然后按“C”鍵選擇使用故障恢復控制臺。

3、鍵入一個數字,選擇某個Windows 安裝,通常是“1”。然后輸入管理員密碼。

4、進入system32目錄,輸入命令:
del  userinit32.exe
copy userinit.exe userinit32.exe

5、重啟系統,將上面介紹的清除蠕蟲的辦法再進行一遍。

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
海南七星彩彩票官网