WORM_DOWNADAD病毒解決方案.docx

WORM_DOWNAD.AD病毒解決方案目錄1.概述32.病毒詳細(xì)信息42.1病毒進(jìn)入途徑42.2病毒安裝細(xì)節(jié)42.3自動(dòng)啟動(dòng)細(xì)節(jié)52.4病毒傳播方式53.病毒清除方法74.病毒感染分析84.1系統(tǒng)漏洞攻擊84.2網(wǎng)絡(luò)共享攻擊94.3USB設(shè)備上的WORM_DOWNAD病毒94.4WORM_DOWNAD病毒感染分析105.病毒預(yù)防后續(xù)建議121. 概述2008年11月，微軟發(fā)布安全公告MS08-067(KB958644)，公布了一個(gè)Server服務(wù)的系統(tǒng)漏洞。隨后，利用該漏洞攻擊而實(shí)現(xiàn)傳播的病毒開始出現(xiàn)，這就是人們稱為“掃蕩波”的WORM_DOWNAD.A病毒。隨后，該病毒的變種WORM_DOWNAD.AD出現(xiàn)，通過(guò)系統(tǒng)漏洞、網(wǎng)絡(luò)共享和USB設(shè)備的混合式傳播方式，迅速在國(guó)內(nèi)各醫(yī)療行業(yè)內(nèi)呈現(xiàn)爆發(fā)的態(tài)勢(shì)。而此后的WORM_DOWNAD.AY、WORM_DOWNAD.KK、WORM_DOWNAD.DAM等病毒均采用類似的傳播方式。此類病毒我們通稱為WORM_DOWNAD系列病毒(其他防病毒廠商也有稱之為Conflicker飛客)。2. 病毒詳細(xì)信息2.1 病毒進(jìn)入途徑該蠕蟲病毒可以通過(guò)其他惡意程序釋放或被其他惡意程序從惡意網(wǎng)站下載，也可以與其他病毒捆綁，通過(guò)用戶訪問(wèn)惡意網(wǎng)站而感染。這通常是用戶初次感染病毒（病毒進(jìn)入用戶網(wǎng)絡(luò)環(huán)境）的主要途徑。2.2 病毒安裝細(xì)節(jié)該蠕蟲病毒感染系統(tǒng)后，會(huì)在%system%目錄下創(chuàng)建一個(gè)隨機(jī)文件名的動(dòng)態(tài)鏈接庫(kù)文件作為自身的copy：%System%Random file name.dll(注：%System%是系統(tǒng)目錄，通常是C:Windowssystem32)并且該病毒會(huì)將自身文件的修改時(shí)間設(shè)置為與KERNEL32.DLL相同，以實(shí)現(xiàn)更好的隱藏。隨后，病毒會(huì)檢查當(dāng)前操作系統(tǒng)，將自身插入到系統(tǒng)進(jìn)程SVCHOST.EXE（針對(duì)Win XP和Win 2003）或者SERVICES.EXE（針對(duì)Win 2000）。同時(shí)，病毒會(huì)插入到SVCHOST.EXE并hook到NetpwPathCanonicalize系統(tǒng)服務(wù)函數(shù)，來(lái)避免對(duì)本機(jī)的重復(fù)感染。病毒還可能會(huì)將自身復(fù)制到以下目錄：l %Application Data% l Default system directory l %Program Files%Internet Explorer l %Program Files%Movie Maker l %Temp%病毒會(huì)將它所釋放的所有自身拷貝文件都進(jìn)行鎖定，禁止用戶對(duì)該文件執(zhí)行讀、寫、刪除等操作。2.3 自動(dòng)啟動(dòng)細(xì)節(jié)該蠕蟲將在注冊(cè)表中創(chuàng)建如下自動(dòng)啟動(dòng)項(xiàng)目以便運(yùn)行：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunRandom characters = rundll32.exe System folderMalware file name.dll, Parameters同時(shí)病毒會(huì)將自身注冊(cè)為一個(gè)系統(tǒng)服務(wù)，該服務(wù)使用隨機(jī)服務(wù)名稱，并調(diào)用SVCHOST來(lái)執(zhí)行病毒DLL，以實(shí)現(xiàn)更好的隱藏。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameImage Path = %Windows%System32svchost.exe -k netsvcsHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameParametersServiceDll = Malware path and file name 2.4 病毒傳播方式該蠕蟲可以通過(guò)系統(tǒng)漏洞、網(wǎng)絡(luò)共享和移動(dòng)磁盤進(jìn)行傳播。a. 系統(tǒng)漏洞傳播病毒通過(guò)微軟安全公告MS08-067(KB958644)提及的操作系統(tǒng)Server服務(wù)漏洞進(jìn)行攻擊和傳播。染毒計(jì)算機(jī)會(huì)被架設(shè)為一臺(tái)HTTP服務(wù)器，并通過(guò)445端口攻擊其他計(jì)算機(jī)相關(guān)漏洞，使其他計(jì)算機(jī)從染毒主機(jī)下載病毒文件。b. 網(wǎng)絡(luò)共享傳播病毒會(huì)將自身復(fù)制到所有可移動(dòng)磁盤及網(wǎng)絡(luò)映射驅(qū)動(dòng)器的Removable DriveRecyclerS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d 目錄中，并釋放一個(gè)autorun.inf，使用戶在雙擊該分區(qū)盤符時(shí)觸發(fā)病毒運(yùn)行。c. 移動(dòng)磁盤傳播病毒通過(guò)共享傳播時(shí)，會(huì)首先使用NetServerEnum AIP來(lái)找到網(wǎng)絡(luò)中所有活動(dòng)主機(jī)，嘗試使用本機(jī)已經(jīng)登陸的帳號(hào)訪問(wèn)網(wǎng)絡(luò)中其他計(jì)算機(jī)，同時(shí)也會(huì)使用NetUserEnum API獲取用戶帳號(hào)，并使用密碼字典暴力破解遠(yuǎn)程主機(jī)的帳號(hào)密碼。一旦成功登陸到遠(yuǎn)程計(jì)算機(jī)，病毒會(huì)在遠(yuǎn)程主機(jī)的默認(rèn)共享中Admin$System32目錄下復(fù)制自身的copy，并在遠(yuǎn)程主機(jī)%Windows%Tasks目錄下創(chuàng)建一個(gè)計(jì)劃任務(wù)，使用NetScheduleJobAdd API來(lái)實(shí)現(xiàn)運(yùn)行它所復(fù)制的病毒。被創(chuàng)建的計(jì)劃任務(wù)文件（.JOB）可以被檢測(cè)為TROJ_DOWNADJOB.A。3. 病毒清除方法趨勢(shì)科技2009年2月發(fā)布的5.787.00以上版本病毒碼及8.913以上版本掃描引擎了包含對(duì)該病毒的檢測(cè)，在使用趨勢(shì)OfficeScan 8.0以上版本的客戶端上可以實(shí)現(xiàn)對(duì)該病毒的預(yù)防和查殺。對(duì)于已經(jīng)感染該病毒的計(jì)算機(jī)，可以安裝包含最新病毒碼和掃描引擎的OfficeScan客戶端，在執(zhí)行全盤掃描后即可查殺該病毒。對(duì)于暫時(shí)無(wú)法安裝OfficeScan客戶端的計(jì)算機(jī)，可以使用以下專殺工具在受感染的計(jì)算機(jī)上執(zhí)行，即可查殺該病毒。(解壓縮密碼:novirus)4. 病毒感染分析由于該病毒能夠自主傳播，因此當(dāng)觀察到該病毒的日志時(shí)，需要通過(guò)分析以確認(rèn)產(chǎn)生日志的計(jì)算機(jī)是否為病毒源，還是遭受病毒攻擊而產(chǎn)生的病毒日志。當(dāng)一臺(tái)計(jì)算機(jī)存在安全弱點(diǎn)而遭受該病毒的攻擊（網(wǎng)絡(luò)共享或系統(tǒng)漏洞攻擊）時(shí)，OfficeScan可以成功將進(jìn)入的病毒文件刪除，這臺(tái)計(jì)算機(jī)實(shí)際上并未感染病毒，無(wú)需處理。因此，當(dāng)觀察到WORM_DOWNAD的病毒日志時(shí)，需要將病毒日志導(dǎo)出進(jìn)行分析，以確認(rèn)病毒是否感染，并嘗試找出病毒源頭。4.1 系統(tǒng)漏洞攻擊當(dāng)一臺(tái)計(jì)算機(jī)未安裝MS08-067(KB958644)補(bǔ)丁時(shí)，就有可能被網(wǎng)絡(luò)中的WORM_DOWNAD病毒源通過(guò)系統(tǒng)漏洞實(shí)現(xiàn)攻擊，進(jìn)而產(chǎn)生日志。遭受漏洞攻擊的計(jì)算機(jī)產(chǎn)生的病毒日志均顯示病毒文件存在于IE臨時(shí)目錄下，如下示例：通常伴隨著IE臨時(shí)目錄下的病毒日志的同時(shí)，也會(huì)產(chǎn)生系統(tǒng)目錄下名為x的文件被檢測(cè)，而x文件通常能夠被OfficeScan隔離。當(dāng)觀察到此類日志時(shí)，表示該計(jì)算機(jī)存在系統(tǒng)漏洞，沒(méi)有安裝MS08-067相關(guān)系統(tǒng)補(bǔ)丁。該計(jì)算機(jī)遭受病毒攻擊后，病毒文件進(jìn)入系統(tǒng)后會(huì)被OfficeScan查殺，該計(jì)算機(jī)并未感染病毒。對(duì)于此類計(jì)算機(jī)，需要盡快為其安裝系統(tǒng)補(bǔ)丁。對(duì)于漏洞攻擊傳播的病毒，無(wú)法通過(guò)病毒日志分析病毒感染源(攻擊源)，但可以使用趨勢(shì)科技威脅發(fā)現(xiàn)服務(wù)產(chǎn)品(TDA)發(fā)現(xiàn)病毒源。4.2 網(wǎng)絡(luò)共享攻擊當(dāng)一臺(tái)計(jì)算機(jī)使用弱密碼時(shí)，或域控允許本機(jī)域賬號(hào)登陸其他計(jì)算機(jī)時(shí)，WORM_DOWNAD病毒可能通過(guò)共享向其他計(jì)算機(jī)傳播病毒。通過(guò)共享傳播的病毒在進(jìn)入系統(tǒng)時(shí)，病毒日志中會(huì)出現(xiàn)感染源的記錄。此類病毒日志如下示例：該病毒通過(guò)共享傳播時(shí)，會(huì)傳播2種文件：一種是病毒自身的copy，一種是計(jì)劃任務(wù)文件At1.job，分別傳播到系統(tǒng)Windows中的system32目錄下和Task目錄下。當(dāng)病毒文件進(jìn)入時(shí)，能夠被OfficeScan查殺，該計(jì)算機(jī)未感染病毒。此類計(jì)算機(jī)需要加強(qiáng)密碼強(qiáng)度，同時(shí)需要在域策略中禁止一個(gè)帳號(hào)登陸多臺(tái)計(jì)算機(jī)。對(duì)于此類日志中顯示的感染源，通常為感染病毒的計(jì)算機(jī)，即病毒源頭。需要盡快將病毒源主機(jī)定位并處理，以避免攻擊的繼續(xù)。4.3 USB設(shè)備上的WORM_DOWNAD病毒由于WORM_DOWNAD病毒能夠通過(guò)USB設(shè)備傳播，因此可能在USB設(shè)備上檢測(cè)到該病毒。通常在USB設(shè)備未啟用寫保護(hù)的情況下，病毒能夠被OfficeScan成功查殺。在USB設(shè)備上的WORM_DOWNAD病毒產(chǎn)生的日志示例如下：從示例中看到，病毒文件所在路徑均在USB設(shè)備的分區(qū)下。有時(shí)也會(huì)產(chǎn)生類似于DeviceHarddisk開頭的文件路徑，這是由于系統(tǒng)未為USB設(shè)備分配盤符時(shí)檢測(cè)到病毒而產(chǎn)生的日志，如下示例：這種情況下，建議通知對(duì)應(yīng)的用戶，并可以通過(guò)加強(qiáng)USB設(shè)備管理，禁用USB設(shè)備或要求USB設(shè)備使用前必須掃毒，來(lái)避免該病毒通過(guò)USB設(shè)備傳播。當(dāng)USB設(shè)備沒(méi)有啟用寫保護(hù)時(shí)，病毒均能夠被OfficeScan成功查殺。該計(jì)算機(jī)未感染病毒。4.4 WORM_DOWNAD病毒感染分析當(dāng)在系統(tǒng)目錄下檢測(cè)到WORM_DOWNAD病毒時(shí)，若發(fā)現(xiàn)病毒日志的“處理措施”中顯示“隔離未完成”或“拒絕訪問(wèn)，暫時(shí)無(wú)法隔離”等處理失敗的記錄時(shí)，則該計(jì)算機(jī)可能已經(jīng)感染病毒。類似病毒日志示例如下：通常此類情況可能是計(jì)算機(jī)感染病毒，病毒進(jìn)程啟動(dòng)后無(wú)法被隔離或刪除，需要用戶重啟計(jì)算機(jī)才能完成對(duì)病毒的查殺。對(duì)于此類計(jì)算機(jī)需要盡快處理，可以通過(guò)OfficeScan掃描C:分區(qū)后重啟計(jì)算機(jī)的方式查殺病毒，或通過(guò)以上第2章中提供的專殺工具查殺病毒。當(dāng)系統(tǒng)目錄中存在WORM_DOWNAD病毒且無(wú)法隔離時(shí)，無(wú)論是否存在感染源，該計(jì)算機(jī)均有可能已經(jīng)感染病毒。此時(shí)請(qǐng)忽略“感染源”（這是由于OfficeScan的感染源存在一定準(zhǔn)確率的問(wèn)題，OfficeScan判斷感染源是否存在是基于：檢測(cè)到當(dāng)前病毒時(shí)是否有計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)共享連接到本機(jī)）。5. 病毒預(yù)防后續(xù)建議從WORM_DOWNAD病毒傳播方式來(lái)看，該病毒通過(guò)系統(tǒng)漏洞攻擊、網(wǎng)絡(luò)共享、移動(dòng)磁盤傳播，因此對(duì)該病毒的防范主要包括以下幾點(diǎn)：a. 加強(qiáng)系統(tǒng)補(bǔ)丁管理，所有計(jì)算機(jī)都需要及時(shí)安裝系統(tǒng)補(bǔ)丁，特別關(guān)注MS08-067(KB958644)補(bǔ)丁；b. 可以通過(guò)部署網(wǎng)絡(luò)邊界處惡意代碼防范，以攔截所有針對(duì)系統(tǒng)/軟件漏洞發(fā)起的攻擊；c. 口令管理需要進(jìn)一步加強(qiáng)，將域賬號(hào)與