首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2005-09)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

利用多個Windows漏洞的Dasher蠕蟲正在流行

發布日期:2005-12-22


受影響的軟件及系統:
====================
Windows 2000
Windows XP
Windows 2003
SQL Server 2000

綜述:
======
近日出現了一種利用MS05-051、MS04-045、MS05-039、MS02-056等多個漏洞進行傳播的新蠕蟲。該蠕蟲的后門模塊是一個RootKit,能對自身進行隱藏和保護,并可能借此構建BotNet進行其他非法活動。由于該蠕蟲利用的漏洞較新,可能有不少系統會受其影響。

該蠕蟲被命名為“Dasher”。

分析:
======
Dasher蠕蟲運行后,會在系統中增加下列文件:

    %WinDir%\System32\wins\Sqltob.exe   Dasher蠕蟲文件主體
    %WinDir%\System32\wins\SqlExp.exe   MS04-045漏洞攻擊程序
    %WinDir%\System32\wins\SqlExp1.exe  MS05-039漏洞攻擊程序
    %WinDir%\System32\wins\SqlExp2.exe  MS05-051漏洞攻擊程序
    %WinDir%\System32\wins\SqlExp3.exe  MS02-056漏洞攻擊程序
    %WinDir%\System32\wins\SqlScan.exe  端口掃描程序
    %WinDir%\System32\wins\Result.txt   攻擊日志
    %ProgramFiles%\nzspfrwy.log         Dasher蠕蟲的擊鍵記錄文件
    %ProgramFiles%\nzspfrwy.dll         Dasher蠕蟲RootKit部分的動態鏈接庫
    %ProgramFiles%\nzspfrwy.dl1         Dasher蠕蟲RootKit部分的動態鏈接庫
    %ProgramFiles%\nzspfrwy.sys         Dasher蠕蟲RootKit部分的驅動文件

為使系統不易再被他人入侵,達到“獨占”該系統的目的,Dasher蠕蟲會修改注冊表:
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”下“SMBDeviceEnabled”的值修改為“0”;
將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC”下“Start”的值修改為“4”。
這兩處修改的目的是禁用SMB設備和MSDTC服務。

和以往蠕蟲不同的是,Dasher蠕蟲包含了RootKit部分。RootKit部分注冊了名為“nzspfrwy”的服務,nzspfrwy.sys驅動通過HOOK系統調用實現了對自身文件的隱藏,和對通信進程的隱藏。

為了實現自啟動,RootKit部分將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters”的“ServiceDll”值修改為“%ProgramFiles%\nzspfrwy.dll”,所以該RootKit會作為RPCSS服務啟動,啟動后再加載RPCSS服務真正的模塊rpcss.dll。

nzspfrwy.dll加載運行后,會啟動一個隱藏的IE進程,將nzspfrwy.dl1注入該進程。nzspfrwy.dl1中的代碼會主動連接某個站點,從而實現遠程反向連接的后門功能。

解決方法:
==========
如果在您的%WinDir%\System32\wins目錄下發現了上述蠕蟲文件,則表明您的系統已經感染了該蠕蟲。可以參考以下方法手工刪除:

1、同時按下Ctrl+Shift+Esc三個鍵,啟動任務管理器,找到Sqltob.exe和SqlScan.exe進程,將其終止。

2、刪除上面提到的%WinDir%\System32\wins下那些文件。

上述措施可以清除蠕蟲的傳播部分,但是無法清除RootKit部分。要清除RootKit部分可參考以下步驟:

1、用另一操作系統引導機器。譬如安裝在同一硬盤上的另一個Windows,或者在機器上安裝另一塊包含操作系統的硬盤,或者用WinPE、Linux Live CD等可引導光盤來啟動系統。

2、刪除%ProgramFiles%\下對應的幾個nzspfrwy.*文件。將%WinDir%\System32\rpcss.dll拷貝到%ProgramFiles%\nzspfrwy.dll。

3、重啟系統后,運行regedit.exe,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters”,將“ServiceDll”的值改為“rpcss.dll”,然后重啟動系統。如果有NTRK軟件包,可以使用其中的SC命令來清除RootKit在注冊表殘余的鍵值:“sc delete nzspfrwy”,即使不清除,通常也不會有什么問題。

4、重啟系統,刪除%ProgramFiles%\nzspfrwy.dll。

為了防止再次被蠕蟲感染,請盡快使用Windows Update安裝最新的安全補丁,并使用防火墻保護系統。

附加信息:
==========
http://www.258434.live/vulndb/8127
http://www.258434.live/vulndb/7231
http://www.258434.live/vulndb/7972
http://www.258434.live/vulndb/3251
http://www.258434.live/index.php?act=alert&do=view&aid=59

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2020 綠盟科技
海南七星彩彩票官网