“求职信”病毒/蠕虫行为深入分析

描述:
程序名称:Worm.wantjob.57345 “求职信”
程序类型:病毒/蠕虫
利用漏洞:MIME漏洞
(http://www.microsoft.com/technet/security/bulletin/ms01-020.asp)
病毒行为:自我复制,通过email传播,通过网络共享传播,感染可执行文件(包括屏保),
破坏本地文件
受影响的系统:所有32位Windows版本。

详细描述(基于Win2K平台):

该程序具有罕见的双程序结构,分为蠕虫部分(网络传播)和病毒部分(感染文件,破坏文件)。
两者在代码上是独立的两部分,可能也是分开编写的。两者的结合方式非常有趣,作者先是写好蠕虫
部分,然后将病毒部分的二进制码在特定位置加进蠕虫部分,得到最终的病毒/蠕虫程序。

完整的wantjob第一次运行时只执行蠕虫部分代码,具体如下:

1、把自身拷贝至“\WINNT\System32\krn132.exe”,并设置系统、隐藏、只读属性。
(在Windows 2000下同时设置了系统和隐藏属性的文件在资源管理器中是不可见的,即使选择了
“显示所有文件和文件夹”。取消选择“隐藏受保护的操作系统文件(推荐)”后则是可见的。)

2、把“\WINNT\System32\krn132.exe”注册为“Krn132”服务,并设置为开机时自动运行。

3、在internet临时文件夹中读取所有"htm","html"文件并从中提取email地址,此蠕虫利用和Nimda
一样利用了MIME漏洞把自身加到邮件中,发送到所有获得的地址。
邮件主题随即设为下列之一:
“Hi”“Hello”“How are you?”“Can you help me?”“We want peace”
“Where will you go?”“Congratulations!!!”“Don't Cry”“Look at the pretty”
“Some advice on your shortcoming”“Free XXX Pictures”“A free hot porn site”
“Why don't you reply to me?”“How about have dinner with me together?”
“Never kiss a stranger”
内容为空,但编码中有一段注释:

4、搜索网上邻居,发现可写的共享目录会随机生成一个文件名,并将病毒自身进行加密,用该文件名
将病毒复制过去。文件名的生成规则:
  第一部分随机生成的名字为字母或数字,最后补一个“.”,
  第二部分在Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg中选择一个。
  第三部分补上exe作为扩展名。

5、krn132.exe每启动一次就会在目录:“%Temp%”和“\WINNT\Temp\”中创建一个自身的副本,
文件名是以K打头的,形如“k871.exe”、“k2.exe”或“ka.exe”。

完整的wantjob第一次运行时还会设置病毒在下次开机时执行病毒部分,具体如下:
6、、改变部分编码后拷贝至“\WINNT\System32\Wqk.dll”,并设置系统、隐藏、只读属性。

7、、在注册表中写入以下键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="Wqk.dll"
把Wqk.dll注册为系统启动时必须加载的模块。下次开机时,病毒部分以动态链接库形式被加载,
存在于所有系统进程中。因为没有自己的PID,所以在任务管理器中也看不见,也不能被终止。
这是黑客常用的一种隐藏backdoor的方法,微软知识库Q134655和Q125680详细论述了这一问题。

下次开机时,Wqk.dll被加载,wantjob以病毒方式运行:

1、遍历硬盘,寻找PE文件,并感染之。

2、检查本地的时间,如果时间为1月13日,则马上启动26个破坏线程,用内存中的数据覆盖硬盘上的
所有文件。

3、Wqk.dll每启动一次就会在目录:“\WINNT\System32\”中创建一个自身的副本,
文件名为“Wqk.dll”再加一个数字,形如“Wqk.dll6”、“Wqk.dll23”。

无论以什么方式运行,wantjob都会进行一些自我保护的措施:

1、检查进程,如果发现一些杀毒软件在(AVP、NAV、NOD、Macfee等)在运行,则将该软件的进程
终止。

2、不断向注册表中写入
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="Wqk.dll"
既使手工去掉了这个键值,马上就会重新被写入。

以上提到的都是wantjob在Win2K下的情况,在WinNT下的情况也大体类似。而在Win9X下就略有不
同,主要是:
1、由于Win9X不存在“服务”所以wantjob不注册“Krn132”服务。而是在注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
写入"krn132"="C:\WINDOWS\SYSTEM\krn132.exe"
2、系统文件夹下没有“Wqk.dll”,而代以Wqk.exe,并在注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
写入"Wqk.exe"="C:\WINDOWS\SYSTEM\Wqk.exe"

解决方案:

在Win9X下最好开机进入DOS模式,在DOS下杀毒。然后再清除相关注册表键值。

由于wantjob的特殊性,目前的所有反病毒软件都不可能在Win2K下完全清除之,因为Wqk.dll总在
任何程序运行之前加载在内存中,又无法删除注册表相关键值,所以需要按照以下步骤进行:
1、结束所有krn132.exe进程。
2、删除“\WINNT\System32\krn132.exe”及上文提到的临时文件夹中的所有副本。
3、删除或禁用“Krn132”服务。
4、在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中
添加以下键值:
@="cmd /c "attrib -s -h -r \WINNT\System32\Wqk.dll"&"del \WINNT\System32\Wqk.dll""
(系统启动时,这个键值是优先于上面提到的“AppInit_DLLs”载入的)然后重启系统,运行反病
毒软件查杀整个硬盘。
或者:
用支持NTFS的干净软盘启动系统,或以Windows 2000安装光盘启动系统,选择修复Windows 2000
安装的选项,最后启动“故障恢复控制台”。删除Wqk.dll。用可以从控制台启动的反病毒软件查杀
整个硬盘。(在此之前请联系反病毒软件厂商,升级最新的病毒特征库)
5、正常启动系统,删除相关注册表键值。

只要可能,强烈建议格式化硬盘后重装系统,或用备份系统恢复。

预防措施:
1、针对MIME漏洞:打开IE的“工具-->internet选项-->安全-->自定义级别-->文件下载”选“禁用”。
还可以安装IE的Service Pack 2,或者升级到IE6。
2、恰当地设置共享目录权限及口令。
3、不要打开可疑邮件,尤其是不要以HTML方式打开。

常见问题:

1、wantjob用什么语言编写?

因为程序会对自身进行重新编码,所以原始程序并无明显特征,但其病毒部分代码是完整的,分离后
可以看出是用MS Visual C++ v6.0编译的,结合程序大小判断,可能采用了C++/ASM混合编程的方式。

2、如何知道自己是否已感染wantjob?

主要是检查有无可疑文件,具体详见上文。

3、加载在内存中的Wqk.dll真的无法察觉吗?

Wqk.dll加载到内存中后,系统反应会明显迟缓,硬盘无故转动。
使用sysinternals.com的一个工具listdlls.exe可以察看系统加载的模块,使用如下格式命令:
“listdlls -d ”
可知系统当前是否加载了Wqk.dll

4、我用一些反编译工具分析wantjob,为什么失败了?
wantjob不是直接由编译链接工具产生,而是经过了手工编码,所以一些工具会出错。可以试一下
W32dasm。

5、我用W32dasm成功的反编译了wantjob,但为什么很多字符串看上去很怪?
wantjob对一些字符串进行了简单的单表代换编码,如F->C,L->T,K->S等。像“rwky64”其实就
是“base64”

6、wantjob和Nimda、Sircam相比,那个危害更大?
显然,wantjob的传播速度没有Nimda快,但肯定会比Sircam快。它能感染文件,且能破坏文件,
危害应该不会比Nimda小多少,造成经济损失可能会比Nimda更大

(0)

相关推荐

  • “求职信”病毒/蠕虫行为深入分析

    描述: 程序名称:Worm.wantjob.57345 "求职信" 程序类型:病毒/蠕虫 利用漏洞:MIME漏洞 (http://www.microsoft.com/technet/security/bulletin/ms01-020.asp) 病毒行为:自我复制,通过email传播,通过网络共享传播,感染可执行文件(包括屏保), 破坏本地文件 受影响的系统:所有32位Windows版本. 详细描述(基于Win2K平台): 该程序具有罕见的双程序结构,分为蠕虫部分(网络传播)和病毒部分

  • 毕业论文-如何预防计算机的网络病毒

    摘要 介绍网络中的计算机病毒,如邮件病毒.蠕虫和木马的特点与其它类病毒的区别和联系以及常见的邮件病毒的实例.同时根据当前计算机病毒发展的趋势,提出了一些防治建议. 关键词 网络 病毒 程序 随着国际互联网的快速发展,电子邮件成为人们相互交流最常见的工具,于是它也成电子邮件型病毒的重要载体.最近几年,出现了许多危害极大的邮件型病毒,如"LOVE YOU"病毒."库尔尼科娃"病毒."Homepage"病毒以及"求职信"病毒等,这些

  • 木马静态变动态 DLL木马程序大揭秘

    相信经常玩木马的朋友们都会知道一些木马的特性,也会有自己最喜爱的木马,不过,很多朋友依然不知道近年兴起的"DLL木马"为何物.什么是"DLL木马"呢?它与一般的木马有什么不同? 一.从DLL技术说起 要了解DLL木马,就必须知道这个"DLL"是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的日子里.在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很

  • 黑客攻击方式的四种最新趋势

    从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势. 趋势一:攻击过程的自动化与攻击工具的快速更新 攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化. 1.扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度. 2.入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后的.

  • 上网需注意:黑客攻击方式的四种最新趋势

    从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势. 趋势一:攻击过程的自动化与攻击工具的快速更新 攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化. 1.扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度. 2.入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后的.

  • 黑客入侵攻击方式的 四种最新趋势

    从1988年开始,位于美国卡内基梅隆大学的CERT CC(计算机紧急响应小组协调中心)就开始调查入侵者的活动.CERT CC给出一些关于最新入侵者攻击方式的趋势. 趋势一:攻击过程的自动化与攻击工具的快速更新 攻击工具的自动化程度继续不断增强.自动化攻击涉及到的四个阶段都发生了变化. 1. 扫描潜在的受害者.从1997年起开始出现大量的扫描活动.目前,新的扫描工具利用更先进的扫描技术,变得更加有威力,并且提高了速度. 2. 入侵具有漏洞的系统.以前,对具有漏洞的系统的攻击是发生在大范围的扫描之后

  • 微软IE面临失宠 而使用安全性更好的浏览器

    "江山易改,本性难移",自从微软的IE代替网景成为个人电脑通向网络的最主要的窗口,思维定势使IE在桌面浏览器领域长期稳稳独坐,但是随着互联网一系列安全问题的层出不穷,用户面对无休止的病毒蠕虫侵袭.木马黑客的攻击以及资料档案丢失等问题,越来越多的人对微软的IE失去兴趣,美国的一些互联网安全机构声称:"目前有越来越多的用户开始放弃使用IE,转而使用其他安全性更好的浏览器."其实早在六月份美国联邦互联网突发事故处理小组(CERT)已经警告人们在微软不能有效解决不断恶化的安

  • 任意位置显示html菜单

    脚本说明: 把如下代码加入<body>区域中 <SCRIPT language=javascript><!-- document.onclick = popUp function popUp() { newX = window.event.x + document.body.scrollLeft newY = window.event.y + document.body.scrollTop menu = document.all.itemopen if ( menu.styl

  • 利用Catalyst交换机处理蠕虫病毒的入侵

    互联网蠕虫的泛滥在最近几年造成了巨大的损失,让很多服务运营商和企业网络的管理员甚为头疼的不仅是其不断的发展变种,而且发作造成的损害也越来越严重.尽管蠕虫本身通常并不破坏任何的数据,但它所带来的直接和间接的破坏使得网络和系统拥塞.受感染的端系统的计算资源会受到严重影响,而病毒的传播则消耗大量的链路带宽,更可怕的是网络基础设备受到影响而造成网络的不稳定甚至瘫痪.以SQL Slammer为例,发生感染传播高峰时造成的平均包丢失率为20%,网络的不稳定引起了银行ATM自动提款机不能工作,航空公司的售票系

  • rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法

    最近网站挂马比较验证,我的电脑的也超卡,建议大家下360safe,文件名称:image.JPG-www.photobucket.com 文件大小:10752 bytes  AV命名:(暂无,哈哈``因为全部过了``) 加壳方式:未知 编写语言:Delphi 病毒类型:IRCBot 文件MD5:0e404cb8b010273ef085afe9c90e8de1 行为: 1.释放病毒副本: %Systemroot%\system32\rpmsvc.exe    10752 字节 C:\Document

随机推荐