WORM_DOWNADAD病毒解決方案.docx

WORM_DOWNAD.AD病毒解決方案目錄1.概述32.病毒詳細(xì)信息42.1病毒進(jìn)入途徑42.2病毒安裝細(xì)節(jié)42.3自動(dòng)啟動(dòng)細(xì)節(jié)52.4病毒傳播方式53.病毒清除方法74.病毒感染分析84.1系統(tǒng)漏洞攻擊84.2網(wǎng)絡(luò)共享攻擊94.3USB設(shè)備上的WORM_DOWNAD病毒94.4WORM_DOWNAD病毒感染分析105.病毒預(yù)防后續(xù)建議121. 概述2008年11月，微軟發(fā)布安全公告MS08-067(KB958644)，公布了一個(gè)Server服務(wù)的系統(tǒng)漏洞。隨后，利用該漏洞攻擊而實(shí)現(xiàn)傳播的病毒開始出現(xiàn)，這就是人們稱為“掃蕩波”的WORM_DOWNAD.A病毒。隨后，該病毒的變種WORM_DOWNAD.AD出現(xiàn)，通過系統(tǒng)漏洞、網(wǎng)絡(luò)共享和USB設(shè)備的混合式傳播方式，迅速在國內(nèi)各醫(yī)療行業(yè)內(nèi)呈現(xiàn)爆發(fā)的態(tài)勢。而此后的WORM_DOWNAD.AY、WORM_DOWNAD.KK、WORM_DOWNAD.DAM等病毒均采用類似的傳播方式。此類病毒我們通稱為WORM_DOWNAD系列病毒(其他防病毒廠商也有稱之為Conflicker飛客)。2. 病毒詳細(xì)信息2.1 病毒進(jìn)入途徑該蠕蟲病毒可以通過其他惡意程序釋放或被其他惡意程序從惡意網(wǎng)站下載，也可以與其他病毒捆綁，通過用戶訪問惡意網(wǎng)站而感染。這通常是用戶初次感染病毒（病毒進(jìn)入用戶網(wǎng)絡(luò)環(huán)境）的主要途徑。2.2 病毒安裝細(xì)節(jié)該蠕蟲病毒感染系統(tǒng)后，會(huì)在%system%目錄下創(chuàng)建一個(gè)隨機(jī)文件名的動(dòng)態(tài)鏈接庫文件作為自身的copy：%System%Random file name.dll(注：%System%是系統(tǒng)目錄，通常是C:Windowssystem32)并且該病毒會(huì)將自身文件的修改時(shí)間設(shè)置為與KERNEL32.DLL相同，以實(shí)現(xiàn)更好的隱藏。隨后，病毒會(huì)檢查當(dāng)前操作系統(tǒng)，將自身插入到系統(tǒng)進(jìn)程SVCHOST.EXE（針對Win XP和Win 2003）或者SERVICES.EXE（針對Win 2000）。同時(shí)，病毒會(huì)插入到SVCHOST.EXE并hook到NetpwPathCanonicalize系統(tǒng)服務(wù)函數(shù)，來避免對本機(jī)的重復(fù)感染。病毒還可能會(huì)將自身復(fù)制到以下目錄：l %Application Data% l Default system directory l %Program Files%Internet Explorer l %Program Files%Movie Maker l %Temp%病毒會(huì)將它所釋放的所有自身拷貝文件都進(jìn)行鎖定，禁止用戶對該文件執(zhí)行讀、寫、刪除等操作。2.3 自動(dòng)啟動(dòng)細(xì)節(jié)該蠕蟲將在注冊表中創(chuàng)建如下自動(dòng)啟動(dòng)項(xiàng)目以便運(yùn)行：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunRandom characters = rundll32.exe System folderMalware file name.dll, Parameters同時(shí)病毒會(huì)將自身注冊為一個(gè)系統(tǒng)服務(wù)，該服務(wù)使用隨機(jī)服務(wù)名稱，并調(diào)用SVCHOST來執(zhí)行病毒DLL，以實(shí)現(xiàn)更好的隱藏。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameImage Path = %Windows%System32svchost.exe -k netsvcsHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameParametersServiceDll = Malware path and file name 2.4 病毒傳播方式該蠕蟲可以通過系統(tǒng)漏洞、網(wǎng)絡(luò)共享和移動(dòng)磁盤進(jìn)行傳播。a. 系統(tǒng)漏洞傳播病毒通過微軟安全公告MS08-067(KB958644)提及的操作系統(tǒng)Server服務(wù)漏洞進(jìn)行攻擊和傳播。染毒計(jì)算機(jī)會(huì)被架設(shè)為一臺(tái)HTTP服務(wù)器，并通過445端口攻擊其他計(jì)算機(jī)相關(guān)漏洞，使其他計(jì)算機(jī)從染毒主機(jī)下載病毒文件。b. 網(wǎng)絡(luò)共享傳播病毒會(huì)將自身復(fù)制到所有可移動(dòng)磁盤及網(wǎng)絡(luò)映射驅(qū)動(dòng)器的Removable DriveRecyclerS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d 目錄中，并釋放一個(gè)autorun.inf，使用戶在雙擊該分區(qū)盤符時(shí)觸發(fā)病毒運(yùn)行。c. 移動(dòng)磁盤傳播病毒通過共享傳播時(shí)，會(huì)首先使用NetServerEnum AIP來找到網(wǎng)絡(luò)中所有活動(dòng)主機(jī)，嘗試使用本機(jī)已經(jīng)登陸的帳號(hào)訪問網(wǎng)絡(luò)中其他計(jì)算機(jī)，同時(shí)也會(huì)使用NetUserEnum API獲取用戶帳號(hào)，并使用密碼字典暴力破解遠(yuǎn)程主機(jī)的帳號(hào)密碼。一旦成功登陸到遠(yuǎn)程計(jì)算機(jī)，病毒會(huì)在遠(yuǎn)程主機(jī)的默認(rèn)共享中Admin$System32目錄下復(fù)制自身的copy，并在遠(yuǎn)程主機(jī)%Windows%Tasks目錄下創(chuàng)建一個(gè)計(jì)劃任務(wù)，使用NetScheduleJobAdd API來實(shí)現(xiàn)運(yùn)行它所復(fù)制的病毒。被創(chuàng)建的計(jì)劃任務(wù)文件（.JOB）可以被檢測為TROJ_DOWNADJOB.A。3. 病毒清除方法趨勢科技2009年2月發(fā)布的5.787.00以上版本病毒碼及8.913以上版本掃描引擎了包含對該病毒的檢測，在使用趨勢OfficeScan 8.0以上版本的客戶端上可以實(shí)現(xiàn)對該病毒的預(yù)防和查殺。對于已經(jīng)感染該病毒的計(jì)算機(jī)，可以安裝包含最新病毒碼和掃描引擎的OfficeScan客戶端，在執(zhí)行全盤掃描后即可查殺該病毒。對于暫時(shí)無法安裝OfficeScan客戶端的計(jì)算機(jī)，可以使用以下專殺工具在受感染的計(jì)算機(jī)上執(zhí)行，即可查殺該病毒。(解壓縮密碼:novirus)4. 病毒感染分析由于該病毒能夠自主傳播，因此當(dāng)觀察到該病毒的日志時(shí)，需要通過分析以確認(rèn)產(chǎn)生日志的計(jì)算機(jī)是否為病毒源，還是遭受病毒攻擊而產(chǎn)生的病毒日志。當(dāng)一臺(tái)計(jì)算機(jī)存在安全弱點(diǎn)而遭受該病毒的攻擊（網(wǎng)絡(luò)共享或系統(tǒng)漏洞攻擊）時(shí)，OfficeScan可以成功將進(jìn)入的病毒文件刪除，這臺(tái)計(jì)算機(jī)實(shí)際上并未感染病毒，無需處理。因此，當(dāng)觀察到WORM_DOWNAD的病毒日志時(shí)，需要將病毒日志導(dǎo)出進(jìn)行分析，以確認(rèn)病毒是否感染，并嘗試找出病毒源頭。4.1 系統(tǒng)漏洞攻擊當(dāng)一臺(tái)計(jì)算機(jī)未安裝MS08-067(KB958644)補(bǔ)丁時(shí)，就有可能被網(wǎng)絡(luò)中的WORM_DOWNAD病毒源通過系統(tǒng)漏洞實(shí)現(xiàn)攻擊，進(jìn)而產(chǎn)生日志。遭受漏洞攻擊的計(jì)算機(jī)產(chǎn)生的病毒日志均顯示病毒文件存在于IE臨時(shí)目錄下，如下示例：通常伴隨著IE臨時(shí)目錄下的病毒日志的同時(shí)，也會(huì)產(chǎn)生系統(tǒng)目錄下名為x的文件被檢測，而x文件通常能夠被OfficeScan隔離。當(dāng)觀察到此類日志時(shí)，表示該計(jì)算機(jī)存在系統(tǒng)漏洞，沒有安裝MS08-067相關(guān)系統(tǒng)補(bǔ)丁。該計(jì)算機(jī)遭受病毒攻擊后，病毒文件進(jìn)入系統(tǒng)后會(huì)被OfficeScan查殺，該計(jì)算機(jī)并未感染病毒。對于此類計(jì)算機(jī)，需要盡快為其安裝系統(tǒng)補(bǔ)丁。對于漏洞攻擊傳播的病毒，無法通過病毒日志分析病毒感染源(攻擊源)，但可以使用趨勢科技威脅發(fā)現(xiàn)服務(wù)產(chǎn)品(TDA)發(fā)現(xiàn)病毒源。4.2 網(wǎng)絡(luò)共享攻擊當(dāng)一臺(tái)計(jì)算機(jī)使用弱密碼時(shí)，或域控允許本機(jī)域賬號(hào)登陸其他計(jì)算機(jī)時(shí)，WORM_DOWNAD病毒可能通過共享向其他計(jì)算機(jī)傳播病毒。通過共享傳播的病毒在進(jìn)入系統(tǒng)時(shí)，病毒日志中會(huì)出現(xiàn)感染源的記錄。此類病毒日志如下示例：該病毒通過共享傳播時(shí)，會(huì)傳播2種文件：一種是病毒自身的copy，一種是計(jì)劃任務(wù)文件At1.job，分別傳播到系統(tǒng)Windows中的system32目錄下和Task目錄下。當(dāng)病毒文件進(jìn)入時(shí)，能夠被OfficeScan查殺，該計(jì)算機(jī)未感染病毒。此類計(jì)算機(jī)需要加強(qiáng)密碼強(qiáng)度，同時(shí)需要在域策略中禁止一個(gè)帳號(hào)登陸多臺(tái)計(jì)算機(jī)。對于此類日志中顯示的感染源，通常為感染病毒的計(jì)算機(jī)，即病毒源頭。需要盡快將病毒源主機(jī)定位并處理，以避免攻擊的繼續(xù)。4.3 USB設(shè)備上的WORM_DOWNAD病毒由于WORM_DOWNAD病毒能夠通過USB設(shè)備傳播，因此可能在USB設(shè)備上檢測到該病毒。通常在USB設(shè)備未啟用寫保護(hù)的情況下，病毒能夠被OfficeScan成功查殺。在USB設(shè)備上的WORM_DOWNAD病毒產(chǎn)生的日志示例如下：從示例中看到，病毒文件所在路徑均在USB設(shè)備的分區(qū)下。有時(shí)也會(huì)產(chǎn)生類似于DeviceHarddisk開頭的文件路徑，這是由于系統(tǒng)未為USB設(shè)備分配盤符時(shí)檢測到病毒而產(chǎn)生的日志，如下示例：這種情況下，建議通知對應(yīng)的用戶，并可以通過加強(qiáng)USB設(shè)備管理，禁用USB設(shè)備或要求USB設(shè)備使用前必須掃毒，來避免該病毒通過USB設(shè)備傳播。當(dāng)USB設(shè)備沒有啟用寫保護(hù)時(shí)，病毒均能夠被OfficeScan成功查殺。該計(jì)算機(jī)未感染病毒。4.4 WORM_DOWNAD病毒感染分析當(dāng)在系統(tǒng)目錄下檢測到WORM_DOWNAD病毒時(shí)，若發(fā)現(xiàn)病毒日志的“處理措施”中顯示“隔離未完成”或“拒絕訪問，暫時(shí)無法隔離”等處理失敗的記錄時(shí)，則該計(jì)算機(jī)可能已經(jīng)感染病毒。類似病毒日志示例如下：通常此類情況可能是計(jì)算機(jī)感染病毒，病毒進(jìn)程啟動(dòng)后無法被隔離或刪除，需要用戶重啟計(jì)算機(jī)才能完成對病毒的查殺。對于此類計(jì)算機(jī)需要盡快處理，可以通過OfficeScan掃描C:分區(qū)后重啟計(jì)算機(jī)的方式查殺病毒，或通過以上第2章中提供的專殺工具查殺病毒。當(dāng)系統(tǒng)目錄中存在WORM_DOWNAD病毒且無法隔離時(shí)，無論是否存在感染源，該計(jì)算機(jī)均有可能已經(jīng)感染病毒。此時(shí)請忽略“感染源”（這是由于OfficeScan的感染源存在一定準(zhǔn)確率的問題，OfficeScan判斷感染源是否存在是基于：檢測到當(dāng)前病毒時(shí)是否有計(jì)算機(jī)通過網(wǎng)絡(luò)共享連接到本機(jī)）。5. 病毒預(yù)防后續(xù)建議從WORM_DOWNAD病毒傳播方式來看，該病毒通過系統(tǒng)漏洞攻擊、網(wǎng)絡(luò)共享、移動(dòng)磁盤傳播，因此對該病毒的防范主要包括以下幾點(diǎn)：a. 加強(qiáng)系統(tǒng)補(bǔ)丁管理，所有計(jì)算機(jī)都需要及時(shí)安裝系統(tǒng)補(bǔ)丁，特別關(guān)注MS08-067(KB958644)補(bǔ)丁；b. 可以通過部署網(wǎng)絡(luò)邊界處惡意代碼防范，以攔截所有針對系統(tǒng)/軟件漏洞發(fā)起的攻擊；c. 口令管理需要進(jìn)一步加強(qiáng)，將域賬號(hào)與