在上周,公司内部发现downadup.B蠕虫(又称conficker)。电脑室对中毒电脑分析后,归纳出可验证的特征如下:
·创建注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
·禁用下列两项 Windows 服务:
后台智能传输服务 (BITS):Background Intelligent Transfer Service,标准为手动
Windows 自动更新服务 (wuauserv):Automatic Updates、标准为自动
·在受感染计算机随机端口上创建服务,并在本机防火墙上增加一个规则以打开该端口(有一台的规则名是banto)
·会访问一些网站,在公司的AC中可以看到类似如下的记录:
访问网站:74.208.64.145/search?q=17,匹配URL组:,该操作被放行
访问网站:199.2.137.252/search?q=17,匹配URL组:,该操作被放行
·蠕虫监控包含许多杀毒软件网址的字符串的 DNS 请求,将其拒绝。
因此,对于普通用户,我们有一个最方便的办法检测是否中毒:
第一步:点击“开始”,“运行”,输入“CMD”,点击“确定”(对应繁体操作系统:點擊“開始”,“執行”,輸入“CMD”,點擊“確定”)
第二步:在弹出的黑底的DOS对话框中输入“ping www.symantec.com”,并回车
第三步:如果结果类似这样:
Pinging a568.d.akamai.net [63.217.8.161] with 32 bytes of data:
……(后面还有八九行)
说明没中毒
如果结果类似这样:
Ping request could not find host www.symantec.com. Please check the name and try again.
说明中毒,请及时向电脑室联系。专业维护人员可以根据其它几项再明确是否中毒。
问:我界面隔一段时间(几分钟或几十分钟)会弹出一个对话框,说我电脑有downadup.B病毒(及其变种)。我电脑中毒了吗?
答:还没有。但你电脑是属于有机会被downadup感染的计算机(所以您还是要及时与电脑室人员联系,以便全面阻止攻击),只是因为赛门铁克杀毒软件阻止了进一步感染。恰恰相反,中毒的电脑却是没有任何明显提示。
问:哪些电脑容易感染downadup病毒?
答:具有以下特征之一的电脑就容易感染病毒:
·没有打补丁包:KB958644,我们的WSUS系统有发布
·没有防火墙功能:如WIN2000系统,它没有方便的防火墙功能,或虽然是XP系统,但关闭了防火墙功能
·开放文件共享,防火墙中文件共享的范围为任意的感染机率立即增大N倍,范围为本子网的,感染机率小一些,不开文件共享则较好一些
·未装杀毒软件,或杀毒软件未正常升级
·超级用户密码为空或弱密码(如果中毒电脑用超级用户进入,这样其它相同超级用户密码的电脑就变得危险了)
问:我这几天的帐号为什么老是被锁?
答:downadup病毒传播的一种方法就是用当前帐号,加上自身带的密码列表,逐一尝试访问其它电脑的ADMIN$目录,由于公司的帐号策略为密码输错三次即被锁定,因此病毒尝试密码造成服务器将该帐号锁定。此外,在公司出现的病毒中,它还会获取同组其它人员的帐号,继续尝试密码。
问:我的电脑不能上网,怎么会被病毒感染?
答:是被其它受感染的电脑传播造成的。
问:我电脑完全断网,怎么会被downadup病毒感染?
答:downadup病毒还会通过移动存贮设备感染。移动存贮设备包括:U盘、移动硬盘、MP3、MP4、数码相机、DV、手机等。
问:downadup病毒有哪些危害?
答:这个问题正是目前全世界的专家都头大的。大家根本都不知道downadup的编写者是谁,目的是要干什么?但它是危险的,因为它实现了可以通过互联网升级的功能,即它不需要在这个版本中想干什么,而在下个版本中却可以实现。
目前,它对公司的影响包括:
·帐号频繁被锁
·占用一定量的网络资源
·对使用者产生一定的担忧
问:如果中毒之后的电脑再装赛门铁克为什么查不出来?
答:当电脑中毒后,再去安装赛门铁克,升级病毒库,这时,赛门铁克就查不出什么问题,但病毒仍然在悠着悠着地试密码,导致误以为赛门铁克不行了。
但看赛门铁克检查结果,却能发现一条提示信息:
掃描無法開啟檔案 C:\WINDOWS\system32\dtwulk.dll [00000003]
原来病毒如果感染成功,接着就把文件访问权限设置为:Everyone遍历文件夹/运行文件。这样杀毒软件想读取数据进行杀毒都不行(高,我今天才知道权限还可以这样设)。
问:如何发现中毒的电脑?
答:对于个人用户,可以使用PING www.symantec.com的方法。对于维护人员,可以根据以下几个方式进行查找:由于中毒电脑会扫描网络,以便发现其它共享开放的电脑,尝试普通传播,密码尝试、漏洞攻击等,因此在该网段抓ARP包(不是ARP欺骗包,而是ARP请求包),看哪一台电脑会逐个扫描网络,一般就是中毒电脑了。我们将会在各个网段设置监控点,如果发现中毒电脑,请同事配合消灭病毒。
此外,在AC中,可以在“发生结果”处输入“/search?q=___,”,或“/search?q=____,”,可以查出能上网的电脑有多少中毒的。
问:对于中毒的电脑应该如何处理?
答:在正常状态下,用普通帐号去\\192.168.21.75\D目录下拷贝如下文件到本机:
·卡巴downadup专杀工具:KKiller.exe
·对应操作系统的KB958644补丁(该目录包括WIN2K简繁,WINXP简繁)
然后断网,启动超级用户,使用卡巴专杀工具进行扫描杀毒。
杀完后,安装系统补丁(如果没有安装的话),检查没有开放特别端口,PING www.symantec.com正常,把禁用的两个服务调成正常状态(一个自动,一个手动)。联网,赛门铁克杀毒软件正常升级。最后全盘扫描,以观后效。
如果想不断网,则要用打开方式启动超级用户权限。
问:为什么不使用赛门铁克的专杀工具?
答:实际使用后发现赛门铁克专杀工具过于保守:
·对全盘进行扫描,花费时间过长,而不是只对SYSTEM32目录进行扫描
·对无权访问的文件没有尝试解锁
·对错误的API没有进行修复
·对SVCHOST进程没有立即进行结束
相比之下,卡巴就没那么多顾忌,效果就更明显。
公司内部中毒历程
从日志中分析:
2009-03-30
14:37:12
第一次出现C424提示W32.Downadup.B病毒,有报告电脑室,但以为只是电子邮件的临时目录造成的
22:28:27
第一次出现GL-DN-N01试着向C539传播W32.Downadup病毒
GL-DN-N01中毒的可能是直接接到外网测试农业银行网站上不去的原因,由于该机做为测试用机,具备染毒的任何条件:没装杀毒软件,没开防火墙,没升级补丁
2009-03-31
08:05:47
第一次出现C838提示移动硬盘发现W32.Downadup!autorun。该日,该机对移动硬盘多次提示。
2009-04-01
C424多次提示有W32.Downadup.B病毒,有报告电脑室,但我以为只是电子邮件的临时目录造成的,现在分析来看,应该是当时就有电脑中毒,启动扫描功能了。
4月1日,赛门铁克可以杀文件夹病毒了,它只是简单地标明为trojan.dropper,它太简单了,都没有名字。但中的电脑还是N多。
2009-04-02
GL-MS-71被盯上了,C424继续属于被盯上的对象,但总的来说还没什么事
2009-04-03
C424继续属于被盯上的对象,还是没什么事
三天放假,没事
2009-04-07
还是C424被盯上。另外,看到让人气愤的日志:C125频频中毒(Trojan.Vundo,每隔三秒提示一次),却不见反应
2009-04-08
C424仍然被盯上
14:26:53
出现C488攻击PROXYSERVER的记录,即C488这段时间中W32.Downadup.B病毒
2009-04-09
早上,提示W32.Downadup.B病毒攻击的电脑变多。
后面的日志就有非常多关于W32.Downadup.B病毒的了,这里不再继续取日志,而转为我的处理。
早上,被锁的帐号要求解锁的电话不断,查看是C488电脑,但去该机,把杀毒软件正常升级后,查杀后却没发现问题,疑问重重。但工作忙就没深入研究。下午,服务器出现大量攻击记录及尝试密码记录,现在看来是病毒感染面积扩大了。
晚上,分析系统日志,发现随着电脑在线数量的减少,攻击也会降低,关闭不安全的17711帐号。收集核心交换机的基本信息。
2009-04-10
台阶看攻击日志从7:28分左右开始活跃,即中毒电脑开机(铝业区域)。上午,断掉监控室电脑网线,通过日志,赛门铁克杀出第一台中毒电脑:IN5-CNC-02,信心大增,整理出感染电脑及被攻击电脑的特性(杀毒软件版本、补丁包、操作系统、文件共享)。下午通过抓ARP包发现三台中毒电脑:GL-DN-N01,C027,C488。
晚上,通过对C488的分析,并查询相关资料,了解病毒相关特性,并且自己找到检测是否中毒的最简单方法——PING杀毒软件的网站即可。有几层保证,可以不担心病毒扩散了。
2009-04-11
继续以C488为标本,整理病毒的其它特性,写出相关文档,准备上班全面狙击。
AC日志
2009-04-05
无
2009-04-06
无
2009-04-07
192.168.17.157 103
2009-04-08
192.168.17.101 113
192.168.17.157 289
2009-04-09
192.168.11.60 77
192.168.12.127 83
192.168.13.102 96
192.168.17.101 525
192.168.17.117 177
192.168.17.118 80
192.168.17.127 92
192.168.17.151 77
192.168.17.157 345
192.168.18.51 169
192.168.21.72 92
192.168.21.76 280
192.168.22.62 79
2009-04-10
192.168.12.104 254
192.168.13.107 90
192.168.17.101 322
192.168.17.118 179
192.168.17.127 354
192.168.17.157 486
192.168.18.51 95
192.168.21.76 220
192.168.21.79 8
2009-04-11
192.168.17.157 335
192.168.18.51 99