WORM_DOWNADAD病毒解決方案.docx

WORM_DOWNAD.AD病毒解決方案目錄1.概述32.病毒詳細(xì)信息42.1病毒進(jìn)入途徑42.2病毒安裝細(xì)節(jié)42.3自動啟動細(xì)節(jié)52.4病毒傳播方式53.病毒清除方法74.病毒感染分析84.1系統(tǒng)漏洞攻擊84.2網(wǎng)絡(luò)共享攻擊94.3USB設(shè)備上的WORM_DOWNAD病毒94.4WORM_DOWNAD病毒感染分析105.病毒預(yù)防后續(xù)建議121. 概述2008年11月，微軟發(fā)布安全公告MS08-067(KB958644)，公布了一個Server服務(wù)的系統(tǒng)漏洞。隨后，利用該漏洞攻擊而實現(xiàn)傳播的病毒開始出現(xiàn)，這就是人們稱為“掃蕩波”的WORM_DOWNAD.A病毒。隨后，該病毒的變種WORM_DOWNAD.AD出現(xiàn)，通過系統(tǒng)漏洞、網(wǎng)絡(luò)共享和USB設(shè)備的混合式傳播方式，迅速在國內(nèi)各醫(yī)療行業(yè)內(nèi)呈現(xiàn)爆發(fā)的態(tài)勢。而此后的WORM_DOWNAD.AY、WORM_DOWNAD.KK、WORM_DOWNAD.DAM等病毒均采用類似的傳播方式。此類病毒我們通稱為WORM_DOWNAD系列病毒(其他防病毒廠商也有稱之為Conflicker飛客)。2. 病毒詳細(xì)信息2.1 病毒進(jìn)入途徑該蠕蟲病毒可以通過其他惡意程序釋放或被其他惡意程序從惡意網(wǎng)站下載，也可以與其他病毒捆綁，通過用戶訪問惡意網(wǎng)站而感染。這通常是用戶初次感染病毒（病毒進(jìn)入用戶網(wǎng)絡(luò)環(huán)境）的主要途徑。2.2 病毒安裝細(xì)節(jié)該蠕蟲病毒感染系統(tǒng)后，會在%system%目錄下創(chuàng)建一個隨機(jī)文件名的動態(tài)鏈接庫文件作為自身的copy：%System%Random file name.dll(注：%System%是系統(tǒng)目錄，通常是C:Windowssystem32)并且該病毒會將自身文件的修改時間設(shè)置為與KERNEL32.DLL相同，以實現(xiàn)更好的隱藏。隨后，病毒會檢查當(dāng)前操作系統(tǒng)，將自身插入到系統(tǒng)進(jìn)程SVCHOST.EXE（針對Win XP和Win 2003）或者SERVICES.EXE（針對Win 2000）。同時，病毒會插入到SVCHOST.EXE并hook到NetpwPathCanonicalize系統(tǒng)服務(wù)函數(shù)，來避免對本機(jī)的重復(fù)感染。病毒還可能會將自身復(fù)制到以下目錄：l %Application Data% l Default system directory l %Program Files%Internet Explorer l %Program Files%Movie Maker l %Temp%病毒會將它所釋放的所有自身拷貝文件都進(jìn)行鎖定，禁止用戶對該文件執(zhí)行讀、寫、刪除等操作。2.3 自動啟動細(xì)節(jié)該蠕蟲將在注冊表中創(chuàng)建如下自動啟動項目以便運行：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunRandom characters = rundll32.exe System folderMalware file name.dll, Parameters同時病毒會將自身注冊為一個系統(tǒng)服務(wù)，該服務(wù)使用隨機(jī)服務(wù)名稱，并調(diào)用SVCHOST來執(zhí)行病毒DLL，以實現(xiàn)更好的隱藏。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameImage Path = %Windows%System32svchost.exe -k netsvcsHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameParametersServiceDll = Malware path and file name 2.4 病毒傳播方式該蠕蟲可以通過系統(tǒng)漏洞、網(wǎng)絡(luò)共享和移動磁盤進(jìn)行傳播。a. 系統(tǒng)漏洞傳播病毒通過微軟安全公告MS08-067(KB958644)提及的操作系統(tǒng)Server服務(wù)漏洞進(jìn)行攻擊和傳播。染毒計算機(jī)會被架設(shè)為一臺HTTP服務(wù)器，并通過445端口攻擊其他計算機(jī)相關(guān)漏洞，使其他計算機(jī)從染毒主機(jī)下載病毒文件。b. 網(wǎng)絡(luò)共享傳播病毒會將自身復(fù)制到所有可移動磁盤及網(wǎng)絡(luò)映射驅(qū)動器的Removable DriveRecyclerS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d 目錄中，并釋放一個autorun.inf，使用戶在雙擊該分區(qū)盤符時觸發(fā)病毒運行。c. 移動磁盤傳播病毒通過共享傳播時，會首先使用NetServerEnum AIP來找到網(wǎng)絡(luò)中所有活動主機(jī)，嘗試使用本機(jī)已經(jīng)登陸的帳號訪問網(wǎng)絡(luò)中其他計算機(jī)，同時也會使用NetUserEnum API獲取用戶帳號，并使用密碼字典暴力破解遠(yuǎn)程主機(jī)的帳號密碼。一旦成功登陸到遠(yuǎn)程計算機(jī)，病毒會在遠(yuǎn)程主機(jī)的默認(rèn)共享中Admin$System32目錄下復(fù)制自身的copy，并在遠(yuǎn)程主機(jī)%Windows%Tasks目錄下創(chuàng)建一個計劃任務(wù)，使用NetScheduleJobAdd API來實現(xiàn)運行它所復(fù)制的病毒。被創(chuàng)建的計劃任務(wù)文件（.JOB）可以被檢測為TROJ_DOWNADJOB.A。3. 病毒清除方法趨勢科技2009年2月發(fā)布的5.787.00以上版本病毒碼及8.913以上版本掃描引擎了包含對該病毒的檢測，在使用趨勢OfficeScan 8.0以上版本的客戶端上可以實現(xiàn)對該病毒的預(yù)防和查殺。對于已經(jīng)感染該病毒的計算機(jī)，可以安裝包含最新病毒碼和掃描引擎的OfficeScan客戶端，在執(zhí)行全盤掃描后即可查殺該病毒。對于暫時無法安裝OfficeScan客戶端的計算機(jī)，可以使用以下專殺工具在受感染的計算機(jī)上執(zhí)行，即可查殺該病毒。(解壓縮密碼:novirus)4. 病毒感染分析由于該病毒能夠自主傳播，因此當(dāng)觀察到該病毒的日志時，需要通過分析以確認(rèn)產(chǎn)生日志的計算機(jī)是否為病毒源，還是遭受病毒攻擊而產(chǎn)生的病毒日志。當(dāng)一臺計算機(jī)存在安全弱點而遭受該病毒的攻擊（網(wǎng)絡(luò)共享或系統(tǒng)漏洞攻擊）時，OfficeScan可以成功將進(jìn)入的病毒文件刪除，這臺計算機(jī)實際上并未感染病毒，無需處理。因此，當(dāng)觀察到WORM_DOWNAD的病毒日志時，需要將病毒日志導(dǎo)出進(jìn)行分析，以確認(rèn)病毒是否感染，并嘗試找出病毒源頭。4.1 系統(tǒng)漏洞攻擊當(dāng)一臺計算機(jī)未安裝MS08-067(KB958644)補(bǔ)丁時，就有可能被網(wǎng)絡(luò)中的WORM_DOWNAD病毒源通過系統(tǒng)漏洞實現(xiàn)攻擊，進(jìn)而產(chǎn)生日志。遭受漏洞攻擊的計算機(jī)產(chǎn)生的病毒日志均顯示病毒文件存在于IE臨時目錄下，如下示例：通常伴隨著IE臨時目錄下的病毒日志的同時，也會產(chǎn)生系統(tǒng)目錄下名為x的文件被檢測，而x文件通常能夠被OfficeScan隔離。當(dāng)觀察到此類日志時，表示該計算機(jī)存在系統(tǒng)漏洞，沒有安裝MS08-067相關(guān)系統(tǒng)補(bǔ)丁。該計算機(jī)遭受病毒攻擊后，病毒文件進(jìn)入系統(tǒng)后會被OfficeScan查殺，該計算機(jī)并未感染病毒。對于此類計算機(jī)，需要盡快為其安裝系統(tǒng)補(bǔ)丁。對于漏洞攻擊傳播的病毒，無法通過病毒日志分析病毒感染源(攻擊源)，但可以使用趨勢科技威脅發(fā)現(xiàn)服務(wù)產(chǎn)品(TDA)發(fā)現(xiàn)病毒源。4.2 網(wǎng)絡(luò)共享攻擊當(dāng)一臺計算機(jī)使用弱密碼時，或域控允許本機(jī)域賬號登陸其他計算機(jī)時，WORM_DOWNAD病毒可能通過共享向其他計算機(jī)傳播病毒。通過共享傳播的病毒在進(jìn)入系統(tǒng)時，病毒日志中會出現(xiàn)感染源的記錄。此類病毒日志如下示例：該病毒通過共享傳播時，會傳播2種文件：一種是病毒自身的copy，一種是計劃任務(wù)文件At1.job，分別傳播到系統(tǒng)Windows中的system32目錄下和Task目錄下。當(dāng)病毒文件進(jìn)入時，能夠被OfficeScan查殺，該計算機(jī)未感染病毒。此類計算機(jī)需要加強(qiáng)密碼強(qiáng)度，同時需要在域策略中禁止一個帳號登陸多臺計算機(jī)。對于此類日志中顯示的感染源，通常為感染病毒的計算機(jī)，即病毒源頭。需要盡快將病毒源主機(jī)定位并處理，以避免攻擊的繼續(xù)。4.3 USB設(shè)備上的WORM_DOWNAD病毒由于WORM_DOWNAD病毒能夠通過USB設(shè)備傳播，因此可能在USB設(shè)備上檢測到該病毒。通常在USB設(shè)備未啟用寫保護(hù)的情況下，病毒能夠被OfficeScan成功查殺。在USB設(shè)備上的WORM_DOWNAD病毒產(chǎn)生的日志示例如下：從示例中看到，病毒文件所在路徑均在USB設(shè)備的分區(qū)下。有時也會產(chǎn)生類似于DeviceHarddisk開頭的文件路徑，這是由于系統(tǒng)未為USB設(shè)備分配盤符時檢測到病毒而產(chǎn)生的日志，如下示例：這種情況下，建議通知對應(yīng)的用戶，并可以通過加強(qiáng)USB設(shè)備管理，禁用USB設(shè)備或要求USB設(shè)備使用前必須掃毒，來避免該病毒通過USB設(shè)備傳播。當(dāng)USB設(shè)備沒有啟用寫保護(hù)時，病毒均能夠被OfficeScan成功查殺。該計算機(jī)未感染病毒。4.4 WORM_DOWNAD病毒感染分析當(dāng)在系統(tǒng)目錄下檢測到WORM_DOWNAD病毒時，若發(fā)現(xiàn)病毒日志的“處理措施”中顯示“隔離未完成”或“拒絕訪問，暫時無法隔離”等處理失敗的記錄時，則該計算機(jī)可能已經(jīng)感染病毒。類似病毒日志示例如下：通常此類情況可能是計算機(jī)感染病毒，病毒進(jìn)程啟動后無法被隔離或刪除，需要用戶重啟計算機(jī)才能完成對病毒的查殺。對于此類計算機(jī)需要盡快處理，可以通過OfficeScan掃描C:分區(qū)后重啟計算機(jī)的方式查殺病毒，或通過以上第2章中提供的專殺工具查殺病毒。當(dāng)系統(tǒng)目錄中存在WORM_DOWNAD病毒且無法隔離時，無論是否存在感染源，該計算機(jī)均有可能已經(jīng)感染病毒。此時請忽略“感染源”（這是由于OfficeScan的感染源存在一定準(zhǔn)確率的問題，OfficeScan判斷感染源是否存在是基于：檢測到當(dāng)前病毒時是否有計算機(jī)通過網(wǎng)絡(luò)共享連接到本機(jī)）。5. 病毒預(yù)防后續(xù)建議從WORM_DOWNAD病毒傳播方式來看，該病毒通過系統(tǒng)漏洞攻擊、網(wǎng)絡(luò)共享、移動磁盤傳播，因此對該病毒的防范主要包括以下幾點：a. 加強(qiáng)系統(tǒng)補(bǔ)丁管理，所有計算機(jī)都需要及時安裝系統(tǒng)補(bǔ)丁，特別關(guān)注MS08-067(KB958644)補(bǔ)丁；b. 可以通過部署網(wǎng)絡(luò)邊界處惡意代碼防范，以攔截所有針對系統(tǒng)/軟件漏洞發(fā)起的攻擊；c. 口令管理需要進(jìn)一步加強(qiáng)，將域賬號與