首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2005-02)

NSFOCUS安全小組([email protected])
//www.nsfocus.com

利用MSN Messenger的蠕蟲“winhost”正在流傳

發布日期:2005-02-03


受影響的軟件及系統:
====================
MSN Messenger
    Microsoft Windows 95
    Microsoft Windows 98
    Microsoft Windows ME
    Microsoft Windows NT 4
    Microsoft Windows 2000
    Microsoft Windows XP
    Microsoft Windows 2003

綜述:
======
綠盟科技安全小組監測到互聯網上出現了一個新的蠕蟲。該蠕蟲既可以像“沖擊波”一樣利用Windows安全漏洞和弱點主動攻擊系統,也可以像去年的“funny”蠕蟲一樣通過MSN Messenger傳播。由于傳播速度較快,目前在國內已經很流行。運行該蠕蟲后,系統就可能被入侵者控制,導致泄密、數據丟失、系統或者網絡異常等問題。

分析:
======
蠕蟲運行后,會將自身拷貝到C盤根目錄,文件名可能是下面這些中的某一個:

    LOL.scr
    Webcam.pif
    bedroom-thongs.pif
    naked_drunk.pif
    LMAO.pif
    ROFL.pif
    underware.pif
    Hot.pif
    new_webcam.pif

    另外,蠕蟲會將自身拷貝到系統目錄中,名為“msnus.exe”?;夠嵩贑盤根目錄下創建一個名為“sexy.jpg”的圖片文件,內容是一只烤雞。

    蠕蟲會在系統目錄下創建文件“winhost.exe”,并在注冊表中寫入:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win32"="winhost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"win32"="winhost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"win32"="winhost.exe"

    蠕蟲會利用 MSN Messenger,給所有聯系人發送文件傳輸請求,試圖將C 盤下的那些拷貝發送過去。

    除了利用 MSN Messenger傳播之外,蠕蟲還內置了針對RPC DCOM溢出、LSASS 溢出、IIS WebDAV溢出 、Microsoft PCT協議溢出、SQL Server弱口令、Windows 系統弱口令、MyDoom留下的后門等的攻擊代碼,可以主動攻擊系統。攻擊成功之后,就會利用自建的FTP 服務器來進行文件傳輸。所以,該蠕蟲除了影響個人計算機外,也可能感染服務器。

    蠕蟲會在系統內尋找“反恐精英”、“半條命”、“榮譽的勛章”、“虛幻”、“紅色警戒”等流行游戲的CD-KEY,找到之后就會將其竊取。蠕蟲還包含擊鍵記錄功能,可以竊取用戶所有的鍵盤輸入。

    蠕蟲內置了利用IRC進行控制的代碼,會主動連接到IRC服務器irc.arness.si 上的某個頻道,接受入侵者的指令,這些指令包括對某個IP進行等DoS 攻擊、下載文件、執行命令等。
    
    蠕蟲內包含一份包含624 個文件名的列表,其中包括了各種殺毒軟件、流行的病毒等,蠕蟲一旦檢測到系統中有這些進程,就會將其終止。

解決方法:
==========
為預防被蠕蟲感染,對于從MSN Messenger 上接收到的文件傳輸請求,可先和對方進行對話,確認不是由蠕蟲發起的,再接收。另外,需要確保系統已經安裝了最新的安全補丁,并且不存在薄弱口令。

    網絡管理員可以考慮暫時性地在邊界設備上,阻塞對TCP端口6891~6899的訪問,以阻止MSN Messenger 的文件傳輸。

    感染蠕蟲后,可按照以下步驟清除:
    
1、同時按下Ctrl、Shift、Esc三個鍵,啟動進程管理器。

2、在進程管理器中尋找“winhost.exe”和“msnus.exe”進程,將其終止。

3、在開始菜單的“運行”中輸入“regedit.exe”,然后點擊“確定”,運行注冊表
   編輯器。找到下面這些鍵值,并將其刪除。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win32"="winhost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"win32"="winhost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"win32"="winhost.exe"

4、在開始菜單的“運行”中輸入“cmd.exe”,然后點擊“確定”,運行命令提示符。
   在命令提示符中輸入:

   attrib -H -R -S %SystemRoot%\system32\winhost.exe
   del %SystemRoot%\system32\winhost.exe
   del %SystemRoot%\system32\msnus.exe
   del C:\sexy.jpg

   再手工檢查一下C:盤,看有無下面這些文件名中的某一個,將其刪除:

    LOL.scr
    Webcam.pif
    bedroom-thongs.pif
    naked_drunk.pif
    LMAO.pif
    ROFL.pif
    underware.pif
    Hot.pif
    new_webcam.pif

附加信息:
==========
------------------------------------------------------------
文件            大小(字節)  MD5 Hash
------------------------------------------------------------
蠕蟲主體        188,928     51a85861820137665b99837c2a66d698
winhost.exe     124,416     2c4afd7eba49f5f98452c8753dd83389
sexy.jpg        38,804      a7edfad498f758656f5bf460da187ba4
------------------------------------------------------------

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/?;?、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: //www.nsfocus.com

© 2019 綠盟科技