哈工大——安天联合Cert小组

 紧急蠕虫事态分析报告
Worm.Dvldr

(2003-03-08-A Ver28.17) 

首次发布时间：2003-03-08 17:20 

最近更新时间：2003-03-10 12：28 

第14次更新

基本情况说明

（特感谢各兄弟安全公司和网站转载本站资料，欢迎继续转载但请注明出处）

   2003年3月8日，哈工大--安天联合CERT小组，在位于中国电信、中国教育网的多个监控节点均发现网络异常，网络速度非常缓慢，特别是教育网内非常严重，异常表现如下：

1、监控节点监控到若干个节点对大量目标地址发送端口为TCP 445的包

2、每一个异常节点向连续的IP地址发包。

   在第一批次锁定了7台问题主机后，经过反向检测，初步发现发包机器有如下共性：

1、系统为Windows 系统。

2、系统开放了AT&T VNC远程管理的5800和5900端口

3、系统超级用户管理员密码为空。

   我们及时与多台目标主机管理人员联系，并进行了系统取证。

初步检测结果如下：

通过Antiy Port 1.2观测：   

system目录下，一个名为dvldr32.exe的可执行程序，发出大量目标端口为445的数据包。目标IP为连续IP地址。

  %windir%/fonts目录下一个名为RUNdll32.exe的程序，也由网络行为。

   另外发现若干异常文件和异常注册表键值：

    当前态势：目前，受到影响比较严重的是教育网，部分院校网络接近瘫痪。（截至到2003年3月9日14：00，对骨干网络速度也有一定影响）

二、分析报告：

系统分析*可能的异常文件列表：

文件名	可能出现的目录	长度
dvldr32.exe*	%windir%\system32(NT/2K) %windir%\system(9x)	745,984
psexec.exe*	%windir%\system32(NT/2K) %windir%\system(9x)	36,352
explorer.exe	%windir%\fonts	212,992
omnithread_rt.dll	%windir%\fonts	57,344
VNCHooks.dll	%windir%\fonts	32,768
rundll32.exe	%windir%\fonts	29,336
cygwin1.dll**	%windir%\system32(NT/2K) %windir%\system(9x)	944,968
INST.exe	C:Documents and Settings\All Users\Start Menu\Programs\Startup*** C:\WINDOWS\Start Menu\Programs\Startup\inst.exe*** C:\WINNT\All Users\Start Menu\Programs\Startup\inst.exe*** %windir%\system32(NT/2K)**** %windir%\system(9x) ****	684,562

说明：*,由于传播机理问题，dvldr32.exe可能投送失败，不出现在目标主机中。如果Dvldr32.exe投送失败，则psexec.exe不会出现。

**这不是一个恶意程序，一些其他的移植自UNIX平台的程序可能使用本连接库。

***只有在英文系统下才会出现。

****不是必然出现。

系统分析*可能的注册表修改：

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explorer"="C:\\WINNT\\Fonts\\explorer.exe"*
"messnger"="C:\\WINNT\\system32\\Dvldr32.exe"**

[HKEY_CURRENT_USER\Software\ORL]

[HKEY_CURRENT_USER\Software\ORL\WinVNC3]
"SocketConnect"=dword:00000001
"AutoPortSelect"=dword:00000001
"InputsEnabled"=dword:00000001
"LocalInputsDisabled"=dword:00000000
"IdleTimeout"=dword:00000000
"QuerySetting"=dword:00000002
"QueryTimeout"=dword:0000000a
"Password"=hex:[此处我们做了屏蔽]***
"PollUnderCursor"=dword:00000001
"PollForeground"=dword:00000001
"PollFullScreen"=dword:00000001
"OnlyPollConsole"=dword:00000001
"OnlyPollOnEvent"=dword:00000001

[HKEY_CURRENT_USER\Software\ORL\VNCHooks]

[HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs]

[HKEY_CURRENT_USER\Software\ORL\VNCHooks\Application_Prefs\EXPLORER.EXE]

说明：

*由于此文件由一个不常见的安装工具制作的安装包释放，对这个工具我们还没有完全分析完毕，但我们发现有的感染系统此键值有所不同。

**如果Dvldr32.exe投送失败，此健值不会出现

***VNC使用3DES加密，我们已经破解了密码，但是为了避免恶意行为，我们对此作了屏蔽。

系统分析*后门：

该程序将正常系统管理工作VNC作为后门，安装到用户系统下，通过修改配置，使VNC SERVER图标不在托盘中出现，不过由于VNC在系统锁定状态下不能连接，因此功能有所折扣。
但由于该蠕虫有通知机制（见“程序分析*功能分析”部分），即使VNC实效，等于已经告知了蠕虫作者，用户密码为空，或者在小字典档内。仍然可以导致入侵。

程序分析*基本说明

dvldr32.exe,采用ASPASK压缩，该程序由MS VC 6.0编写。

该文件中以资源的形势，包含了2个可执行文件，其中一个为sysinternals所发布的著名行命令网络工具psexec（psexec本身包含一个名为psexesvc的程序，此前版本分析报告有误），蠕虫的制作者使用了最新版本的psexec.exe（Ver 1.31.0.0）,但采用了UPX进行压缩，使文件大小从122,880字节缩小到了36,352字节。

以下引号中斜体部分为，原来版本错误地说明：

“3个可执行程序，其中两个2个为：sysinternals所发布的行命令工具，分别是：psexesvc和Remote process launcher。从作者的意图上看，这两个工具并不希望保留在文件系统中，主要是留给dvldr32.exe自己调用。”

另外一个程序为一个不常见安装工具所制作的安装包，该安装包中包括5个文件，其中3个文件(explorer.exe；VNCHooks.dll；omnithread_rt.dll)属于AT&T所发布的网管工具VNC, nc的3.3.3.9版本）。另外两个文件则是，rundll32.exe、cygwin1.dll。其中cygwin1.dll由red hat发布，名称是Cygwin® POSIX Emulation DLL。用以对Linux移植到Windows下的程序进行支持。

文件之间调用关系如下：

explorer.exe
├VNCHooks.dll
└omnithread_rt.dll

rundll32.exe
└cygwin1.dll

我们可以看出，对于explorer.exe；VNCHooks.dll；omnithread_rt.dll由于是VNC的一部分，已经无需分析，而网络上对于sysinternals的psexesvc和Remote process launcher的使用介绍也已经很多。cygwin1.dll是一个正常的动态连接库也无须分析。主要应该分析的是dvldr32.exe的执行部分和rundll32.exe。

程序分析*功能分析

dvldr32.exe:

这个程序的基本结构见由安天Cert编写的Worm.Dvldr代码分析报告（一）

该程序运行后，会随机选择2个IP段，连接对方445的网络包，一旦连接成功，则用自身一份 字典列表穷举对方超级用户口令，一旦破解成功，则将自身复制到目标系统中。

这个程序除了主要来实施发包进行网络感染操作。其大量的发包，也是造成网络瘫痪的主要原因。

  感染操作需要特别说明一下，这个程序远程投送两个文件其自身和inst.exe，其提供了两种投送方式，一种是通过psexec命令，一种是通过网络共享copy。通过，psexec命令，可以完成文件copy和在远程主机的执行，但有可能投送失败。其对inst.exe还通过网络路径copy到英文windows的启动组下，使开机被执行，因此，inst.exe投送的成功率要比dvldr32.exe更高。这就造成几种情况，从而导致对目标系统的影响有所不同。在此前版本分析报告中对此的说明不够清晰。

  一些感染的主机，只发现了rundll32.exe而没有发现dvldr32.exe正是上述原因。

   rundll32.exe不是正常的MS系统的RUNDLL32，似乎为一个LINUX移植到WINDOWS平台的程序，目前已经可以分析出该程序的主要功能是，向一个irc列表汇报已经感染主机的信息。

IRC列表如下：

cocket.nailed.org
cocket.mooo.com
cocket.bounceme.net
cocket.phathookups.com
cocket.gotdns.com
cocket.ma.cx
cocket.orgdns.org
cocket.minidns.net
cocket.dyn.nicolas.cx
cocket.dynup.net
cocket.pokemonfan.org
cocket.staticcling.org
cocket.getmyip.com

用户处理*手工处理

NT/2K用户应该为Administrator设置一个强壮的密码，（至少不能在蠕虫的密码档中），之后采用AntiyPort

http://www.antiy.com/service/antiyports.exe

或其他进程管理工具，首先中止%windir%system32/dvldr32.exe、%windir%/fonts/rundll32.exe、%windir%/fonts/explorer.exe对应的三个进程，之后删除掉“系统分析*文件列表”中的所有对应文件，最后重新启动机器。

用户处理*专杀工具

即使采用专杀工具，也需要首先为Administrator设置一个强壮的密码。否则再次被其他感染节点扫描时，仍然会被感染。

哈工大——安天联合Cert小组已经发布Worm.DvLdr免费专杀工具1.001版，

中文版：http://www.antiy.com/cert/killdvldr.exe

英文版：http://www.antiy.net/download/killdvldr.exe

网络管理对策：

如下情况表明网络用户已经被感染，

大量的目标端口为TCP 445的通讯，或者目标地址在上述列表内的mIRC通讯，（目标端口6667）。

网管可以在路由或者防火墙上，双向关闭445端口，以临时避免内网被感染，或者内网感染的主机对外传播。

网管确定目标后，可以到目标上通过我们提供的专杀工具处理。

如果网管由于特殊原因不能在问题主机本地处理，可以使用Worm.DvLdr免费专杀工具特别版本。这是一个无需用户点确认就直接处理的版本。网管可以自己参考我们上面介绍的这个蠕虫的投送方式，对自己管理范围内的机器投送杀毒程序。我们自己不能提供投送手段，否则会被不法分子利用。

特别提醒用户：无论动机如何，必须合法的使用网络资源。出于善意，为不在自己管辖权力范围的内主机清除病毒，也不能称为合法行为。

特别版：http://www.antiy.com/cert/rkilldvldr.exe

进一步响应消息：
我小组将继续关注态势进展，在http://www.antiy.com/上发布更加详细的代码分析报告。

安天实验室已经在北京时间2003年3月9日上午10点更新Antiy Ghostbusters病毒库升级文件包。

http://www.antiy.net/ghostbusters/agb_base.msp

用户可以直接下载，或者通过Antiy Live在线升级。

所有Antiy Ghostbusters捉鬼队用户，可以下载此单独库文件

http://www.antiy.com/update/ex.gbl

（默认路径为：C:\Program Files\Antiy Labs\Antiy Ghostbusters）覆盖同名病毒库文件，就可以检测此蠕虫。

结合专杀工具，能够取得更好效果。

附：

蠕虫用于穷举的弱口令列表。

问题主机的netstat输出。