| |
|
|
| 发布日期:
2006-10-27 2:06:02 查看数:
|
|
|
病毒预警!(关于Generic Host Process for Win32 Services错误)
从8月13日中午开始发现很多人出现了svchost.exe出现错误的情况,并且ADSL PPPOE连接失效,症状为任务栏中连接显示状态不正常,无法正常断开连接,无数据流量。任务栏声音按钮消失。同时声卡失效。
据某外国网站介绍 今天 截获了一个利用 MS06-040 漏洞的蠕虫病毒 并且主要攻击2000和xp sp1
根据介绍那个魔波 (Mocbot)
受影响是2000系统和xp sp1
转贴请著名作者 同时感谢剑盟yjhfast和霏凡tkabc给我的意见和帮助
但是本人虚拟机 是xp sp2 没打八月补丁的 由于这个东西 受灾面积很广,也想玩一下
昨天拿到了名为9928A1E6601CF00D0B7826D13FB556F0D4E7D5C2ED00CC31F8C25C9F4FD75F05.exe的样本
自己运行了一下 测试如下
----------------------------------
增加值:4
----------------------------------
HKLM\SYSTEM\ControlSet001\Services\lanmanserver\parameters\autoshareserver: 0x00000000
HKLM\SYSTEM\ControlSet001\Services\lanmanserver\parameters\autosharewks: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\autoshareserver: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\autosharewks: 0x00000000
----------------------------------
修改值:10
----------------------------------
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 40 CE 92 9E FB 54 73 2D 45 C9 41 0E 21 BB AC C2 4E F4 E7 A3 A7 DB 69 3C 59 18 FF 79 5E 30 B3 3F C0 A5 DE 73 EE D0 59 30 64 FC AB 90 85 74 AD 6C 69 DE AE C5 D5 E8 7B 33 04 38 89 76 4B A6 6C 85 CE D4 CF CF DB EF 86 B3 70 50 FE 91 C5 6C DC 3C
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: FD AE A0 53 B2 F3 C2 91 1F 5D EF 0D 15 EE 03 FB 40 76 B6 29 51 63 AF 70 CC 53 6E A6 90 D4 48 53 12 DB F4 DB 86 F0 5A EC 2C 40 A7 26 7F 97 DE B6 35 A9 67 95 CD C5 D7 BC A4 33 3B 14 E1 B3 3E 1D 65 D6 F5 C0 92 29 B9 D0 3A BF DB DA 9C 36 C9 D3
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM: "Y"
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM: "n"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount: 0x00000003
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-19\RefCount: 0x00000002
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous: 0x00000000
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Start: 0x00000004
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000063
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Epoch\Epoch: 0x00000064
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start: 0x00000002
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start: 0x00000004
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000063
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch\Epoch: 0x00000064
HKU\S-1-5-21-448539723-1972579041-839522115-1003\SessionInformation\ProgramCount: 0x00000001
HKU\S-1-5-21-448539723-1972579041-839522115-1003\SessionInformation\ProgramCount: 0x00000002
----------------------------------
文件增加:2
----------------------------------
C:\WINDOWS\system32\wgareg.exe
C:\WINDOWS\Debug\dcpromo.log
可恶的家伙 运行后首先把系统墙关了(图1)
生成了C:\WINDOWS\system32\wgareg.exe (图2)
C:\WINDOWS\system32\wgareg.exe动作
蠕虫扫描TCP 445,找出有漏洞的电脑,然后溢出漏洞
连接到hxxp://media.pixpond.com,下载 l9rd6g.jpg 档案
202.121.199.200
端口18067
58.81.137.157
端口18067
61.163.231.115
端口:18067
38.119.88.27
端口80
221.224.49.0
端口445
221.18.49.0
端口445
......
主要向外连接端口18067\80\445
端口445疯狂连接,可能出现无数连接,本人用gss,鼠标点了1000多次 "Allow "
并建立服务
[Windows Genuine Advantage Registration Service / wgareg]
<C:\WINDOWS\system32\wgareg.exe><N/A>
其中该蠕虫还会下载木马 Trojan-Proxy.Win32.Ranky.fv (咔吧报的名字)
URL: /WebPicFile/2006-10/27/20061027255283.jpg/FSG
之后出现
为了保护你的计算机,Windows已经关闭了程序(图3)
然后就是报错(图4)
...........................................................................................................................................................................
今天刚拿到的样本名为2BF2A4F0BDAC42F4D6F8A062A720679722452B1D6E4D6BAE5FC067A9B166A340.exe
自己同样运行一下
特征基本和第一个一样
但是区别是
建议了服务为
[Windows Genuine Advantage Validation Monitor / wgavm]
<C:\WINDOWS\system32\wgavm.exe><N/A>
其中该蠕虫还会下载木马 Backdoor.Win32.IRCBot.st (咔吧报的名字)
URL: /WebPicFile/2006-10/27/200610272540287.jpg/PE_Patch/MEW
下载到的MEW是pe文件 改成exe运行 发现生成物也就是第一个生成的 所有变化和第一个 一模一样
既然出现了重复
主要最后都要下到这个
其中该蠕虫还会下载木马 Trojan-Proxy.Win32.Ranky.fv
URL: /WebPicFile/2006-10/27/20061027255283.jpg/FSG
FSG是个pe文件 改exe直接运行
----------------------------------
增加键:
----------------------------------
HKLM\SOFTWARE\Tmp
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS\0000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS\0000\Control
HKLM\SYSTEM\ControlSet001\Services\ntrcs
HKLM\SYSTEM\ControlSet001\Services\ntrcs\Security
HKLM\SYSTEM\ControlSet001\Services\ntrcs\Enum
----------------------------------
删除值:
----------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IMJPMIG8.1: ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PHIME2002ASync: "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PHIME2002A: "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware Tools: "C:\Program Files\VMware\VMware Tools\VMwareTray.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware User Process: "C:\Program Files\VMware\VMware Tools\VMwareUser.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\GhostSecuritySuite: ""C:\Program Files\GhostSecuritySuite\gss.exe" -minimize"
HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%windir%\system32\sessmgr.exe: "%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
HKU\S-1-5-21-448539723-1972579041-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe: "C:\WINDOWS\system32\ctfmon.exe"
----------------------------------
增加值
----------------------------------
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTRCS\0000\DeviceDesc: "Windows Vista/NT Runtime Compatibility Service"
HKLM\SYSTEM\ControlSet001\Services\ntrcs\ImagePath: "C:\WINDOWS\NT\nrcs.exe"----------------------------------
----------------------------------
文件删除:
----------------------------------
将本身删除
----------------------------------
文件增加:1
----------------------------------
C:\WINDOWS\NT\nrcs.exe
----------------------------------
目录增加:1
----------------------------------
C:\WINDOWS\NT
值得注意的是 删除了全部启动项目............也就是说 将杀软的启动项目也删除了,导致他们开机无法运行
同时新闻上说的东西也就是验证了为什么会那样
ADSL PPPOE连接失效,症状为任务栏中连接显示状态不正常,无法正常断开连接,无数据流量。任务栏声音按钮消失。同时声卡失效。
病毒自己加了启动项目[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Microsoft (R) Windows Vista/NT Runtime Compatibility Service><C:\WINDOWS\NT\nrcs.exe> []
并建立服务
[Windows Vista/NT Runtime Compatibility Service / ntrcs]
<C:\WINDOWS\NT\nrcs.exe><N/A>
解决方案
由于这个“魔鬼波”蠕虫借微软新漏洞来袭
针对2000 &xp sp1
1)请及时下载补丁
微软MS06-040Server服务漏洞可能允许远程执行代码补丁下载地址:
中文Windows 2000 Service Pack 4:
http://download.microsoft.com/download/f/2/%%f/f2f6f032-b0db-459d-9e89-fc0218973e73/Windows2000-KB921883-x86-CHS.EXE
中文Windows XP Service Pack 1 & Service Pack 2:
http://download.microsoft.com/download/3/1/b/31be1ef4-18e0-44a1-bc80-1753b8b43528/WindowsXP-KB921883-x86-CHS.exe
中文Windows Server 2003 & Service Pack 1:http://download.microsoft.com/download/3/1/e/31e1b295-80cf-47fb-be65-c542a55bc1cd/WindowsServer2003-KB921883-x86-CHS.exe
Windows XP Professional x64 Edition:
http://download.microsoft.com/download/0/f/9/0f9eb45e-cb70-40dd-8506-8cdf226731f7/WindowsServer2003.WindowsXP-KB921883-x64-ENU.exe
2)如果是xp 打开系统带的防火墙
3)最好加个杀软的防火墙+合适的规则
4)用防火墙处阻止端口445\139
5)如果没有防火墙 可以用一下关闭端口小软件
Windows Worms Doors Cleaner v1.4.1
下载地址http://www.firewallleaktester.com/tools/wwdc.exe
介绍http://www.firewallleaktester.com/wwdc.htm
感谢霏凡tkabc提供
电脑维修知识网
|
|
| |
|
|
|
|
|
|
| |
|
|
|
