TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]蒐集email位址的W32.Stration.AC@mm網路蠕蟲

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期五 九月 22, 2006 2:24 pm    文章主題: [資通安全]蒐集email位址的W32.Stration.AC@mm網路蠕蟲 引言回覆

病毒型態:
網路蠕蟲
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
W32.Areses.Q@mm是一種大量散發郵件的網路蠕蟲(mass-mailing worm),會在被感染的電腦上蒐集email位址。
說明:
W32.Areses.Q@mm是一種大量散發郵件的網路蠕蟲(mass-mailing worm),會在被感染的電腦上蒐集email位址。
當W32.Stration.AC@mm執行時會有下列動作:
1. 產生下列檔案:
A. %Windir%\tsrv.exe
B. %Windir%\tsrv.dll
C. %Windir%\tsrv.s
D. %Windir%\tsrv.wax
E. %System%\cmut449c14b7.dll
F. %System%\hpzl449c14b7.exe
G. %System%\msji449c14b7.dll
註:1.%System%是一個參考系統檔案夾的變數。預設值是: C:\Windows\System (Windows 95/98/Me) C:\Winnt\System32 (Windows NT/2000) C:\Windows\System32 (Windows XP)
2. %Windir%是一個參考安裝檔案夾的變數。預設值是:C:\Windows (Windows 95/98/Me/XP) C:\Winnt (Windows NT/2000)
2.當病毒第一次執行時,會打開Notepad並會在文字文件中顯示任意字元
3.在下列的登錄子機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows中
加入下列的值:"AppInit_DLLs" = "msji449c14b7.dll daniwshb.dll msv1nv4_.dll"
4.每次開機時會在下列的登錄子機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中
加入下列的值:"tsrv"="%Windir%\tsrv.exe s"
5. 從下列副檔名的檔案中蒐集email位址:
.adb
.asp
.cfg
.cgi
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
6.把蒐集到的email存到%Windir%\tsrv.wax中
7.把蒐集到的email上傳至:[http://]yuhadefunjinsa.com/cgi-bin/p[REMOVED]
8.把蠕蟲本身利用email送給之前蒐集到的email位址,該email會有下列特徵:
From:
來源位址會有一系列的預設名稱,@後面會有四種特徵任意選一種,下列有四個例子:
Moore2005@mail.com
Susan1952@yahoo.com
Greenpxjzx@fastmail.fm
Jennifer_ukawo@mail.com

Subject:
下列字串中其中一個:
A. Good Day
B. Server Report
C. hello
D. picture
E. Status
F. test
G. Error
H. Mail Delivery System
Mail Transaction Failed

Message:
下列字串中其中一個:
A. The message contains Unicode characters and has been sentas a binary attachment.
B. Mail transaction failed. Partial message is available.
C. The message cannot be represented in 7-bit ASCII encodingand has been sent as a binary attachment

Attachment:
下列其中一個檔案:
body
data
doc
docs
document
file
message
readme
test
text
Update-KB[RANDOM NUMBER]-x86

後面的副檔名,從下列中任意選一個:
.log
.elm
.msg
.txt
.dat

空白之後,副檔名後面,再從下列中任意選一個:

.bat
.cmd
.scr
.exe
.pif
9.連結到URL:[http://]yuhadefunjinsa.com/chr/grw[REMOVED]並下載檔 案lt.exe
10.嘗試把下載的檔案lt.exe存到%Windir%\tsrv.z.
11.嘗試連結到URL:[http://]yuhadefunjinsa.com/chr/grw/s.e[REMOVED],並且下載一個檔案,將它改成%System%\acac.exe

12.把下列的資料新增至hosts檔案裡:
127.0.0.1 download.microsoft.com
127.0.0.1 go.microsoft.com
127.0.0.1 msdn.microsoft.com
127.0.0.1 office.microsoft.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 [http://]www.microsoft.com/downloads/Search.aspx?displaylang=en
127.0.0.1 avp.ru
127.0.0.1 www.avp.ru
127.0.0.1 [http://]avp.ru
127.0.0.1 [http://]www.avp.ru
127.0.0.1 kaspersky.ru
127.0.0.1 www.kaspersky.ru
127.0.0.1 [http://]kaspersky.ru
127.0.0.1 kaspersky.com
127.0.0.1 www.kaspersky.com
127.0.0.1 [http://]kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 [http://]kaspersky-labs.com
127.0.0.1 avp.ru/download/
127.0.0.1 www.avp.ru/download/
127.0.0.1 [http://]www.avp.ru/download/
127.0.0.1 [http://]www.kaspersky.ru/updates/
127.0.0.1 [http://]www.kaspersky-labs.com/updates/
127.0.0.1 [http://]kaspersky.ru/updates/
127.0.0.1 [http://]kaspersky-labs.com/updates/
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 [http://]downloads1.kaspersky-labs.com
127.0.0.1 [http://]downloads2.kaspersky-labs.com
127.0.0.1 [http://]downloads3.kaspersky-labs.com
127.0.0.1 [http://]downloads4.kaspersky-labs.com
127.0.0.1 [http://]downloads5.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com/products/
127.0.0.1 downloads2.kaspersky-labs.com/products/
127.0.0.1 downloads3.kaspersky-labs.com/products/
127.0.0.1 downloads4.kaspersky-labs.com/products/
127.0.0.1 downloads5.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads1.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads2.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads3.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads4.kaspersky-labs.com/products/
127.0.0.1 [http://]downloads5.kaspersky-labs.com/products/
127.0.0.1 downloads1.kaspersky-labs.com/updates/
127.0.0.1 downloads2.kaspersky-labs.com/updates/
127.0.0.1 downloads3.kaspersky-labs.com/updates/
127.0.0.1 downloads4.kaspersky-labs.com/updates/
127.0.0.1 downloads5.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads1.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads2.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads3.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads4.kaspersky-labs.com/updates/
127.0.0.1 [http://]downloads5.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads1.kaspersky-labs.com
127.0.0.1 [ftp://]downloads2.kaspersky-labs.com
127.0.0.1 [ftp://]downloads3.kaspersky-labs.com
127.0.0.1 [ftp://]downloads4.kaspersky-labs.com
127.0.0.1 [ftp://]downloads5.kaspersky-labs.com
127.0.0.1 [ftp://]downloads1.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads2.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads3.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads4.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads5.kaspersky-labs.com/products/
127.0.0.1 [ftp://]downloads1.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads2.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads3.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads4.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]downloads5.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates1.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates2.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates3.kaspersky-labs.com/updates/
127.0.0.1 [http://]updates4.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates1.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates2.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates3.kaspersky-labs.com/updates/
127.0.0.1 [ftp://]updates4.kaspersky-labs.com/updates/
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 [http://]viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 www.viruslist.ru
127.0.0.1 [http://]viruslist.ru
127.0.0.1 [ftp://]ftp.kasperskylab.ru/updates/
127.0.0.1 symantec.com
127.0.0.1 www.symantec.com
127.0.0.1 [http://]symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 [http://]customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 [http://]liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 [http://]liveupdate.symantecliveupdate.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 [http://]securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 [http://]service1.symantec.com
127.0.0.1 symantec.com/updates
127.0.0.1 [http://]symantec.com/updates
127.0.0.1 updates.symantec.com
127.0.0.1 [http://]updates.symantec.com
127.0.0.1 eset.com/
127.0.0.1 www.eset.com/
127.0.0.1 [http://]www.eset.com/
127.0.0.1 eset.com/products/index.php
127.0.0.1 www.eset.com/products/index.php
127.0.0.1 [http://]www.eset.com/products/index.php
127.0.0.1 eset.com/download/index.php
127.0.0.1 www.eset.com/download/index.php
127.0.0.1 [http://]www.eset.com/download/index.php
127.0.0.1 eset.com/joomla/
127.0.0.1 www.eset.com/joomla/
127.0.0.1 [http://]www.eset.com/joomla/
127.0.0.1 u3.eset.com/
127.0.0.1 [http://]u3.eset.com/
127.0.0.1 u4.eset.com/
127.0.0.1 [http://]u4.eset.com/
127.0.0.1 www.symantec.com/updates
13.產生下列的檔案:
C:\WINDOWS\system32\acac.dll
C:\WINDOWS\system32\daniwshb.dll
C:\WINDOWS\system32\dsoukbda.exe
C:\WINDOWS\system32\msv1nv4_.dll
C:\WINDOWS\system32\msvfjspr.dll
14. 在下列的登錄子機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac中
加入下列的值:
"DllName" = "C:\WINDOWS\system32\acac.dll"
"Startup" = "WlxStartupEvent"
"Shutdown" = "WlxShutdownEvent"
"Impersonate" = "0"
"Asynchronous" = "0"
"Image" = "C:\INF\lt.exe"
15.新增下列的登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wuapx9tt
16.可能會使特定的安全相關的應用程式無效
解決方案:
1. 取消系統還原(對於Window Me/XP)
Window Me
(a) 點選 開始\設定\控制面版
(b) 滑鼠左鍵兩下點選執行系統(System)
(c) 在效能頁面點選檔案系統
(d) 勾選取消系統還原並按確定重新開機
Window XP
(a) 按開始
(b) 滑鼠右鍵選取我的電腦,點選內容
(c) 尋找系統還原的頁面,取消系統還原
(d) 點選套用
(e) 電腦會提醒有關細節,點選確定
2. 刪除病毒額外加進hosts檔案的資訊
a.跳到下列的位置:
Windows 95/98/Me:
%Windir%
Windows NT/2000/XP:
%Windir%\System32\drivers\etc
註:1. hosts檔案的路徑可能被改變或是某些電腦並沒有這個檔案,或是該檔案可能會被複製到其他路徑。如果該路徑底下找不到,請在你的硬碟上搜尋該檔名,並繼續進行下面的動作。
2. %Windir%是一個參考安裝檔案夾的變數。預設值是:C:\Windows (Windows 95/98/Me/XP) C:\Winnt (Windows NT/2000)
b.點選hosts的檔案
c.如果必要,把”永遠用選取的程式來開啟這種檔案”取消掉
d.選擇用Notepad開啟
e.開啟之後,刪除病毒所新增的資訊,也就是病毒說明的第12點所新增的資訊
f. 關閉Notepad並儲存變更
3. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克:http://securityresponse.symantec.com/avcenter/defs.download.html
趨勢科技:http://www.trendmicro.com/download/zh-tw/
4. 執行全系統掃描
(a) 執行防毒軟體,並設定為執行全系統掃描
(b) 如果偵測到病毒,則採取防毒軟體所建議的步驟
註:如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
5. 刪除登入項目的值:
A. 點選 開始\執行
B. 輸入 regedit
C. 點選 OK
NOTE:如果登錄編輯程式執行失敗,病毒可能把登錄編輯程式的路徑更改,Security Response有發展一套工具可以解決這個問題,請到下列網址:http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99下載並執行,即可繼續後面的步驟
D. 跳到下列的登錄子機碼(registry subkey) 並點選:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
E. 刪除右邊框出現的符合下列字串的值:
tsrv"="%Windir%\tsrv.exe s
F. 跳到下列的登錄子機碼(registry subkey)並點選:
G. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
H. 刪除右邊框出現的符合下列字串的值:
"AppInit_DLLs" = "msji449c14b7.dll daniwshb.dll msv1nv4_.dll"

I. 跳到下列的登錄子機碼(registry subkey) 並刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wuapx9tt
J. 離開登錄編輯程式
6. 刪除下列由病毒建立的檔案:
A. %Windir%\tsrv.exe
B. %Windir%\tsrv.dll
C. %Windir%\tsrv.s
D. %Windir%\tsrv.wax
E. %System%\cmut449c14b7.dll
F. %System%\hpzl449c14b7.exe
G. %System%\msji449c14b7.dll
H. C:\WINDOWS\system32\acac.dll
I. C:\WINDOWS\system32\daniwshb.dll
J. C:\WINDOWS\system32\dsoukbda.exe
K. C:\WINDOWS\system32\msv1nv4_.dll
L. C:\WINDOWS\system32\msvfjspr.dll

參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-091012-5303-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組