MS08-067病毒分析
更新时间:2023-11-24 04:21:01 阅读量: 教育文库 文档下载
- ms08-067漏洞推荐度:
- 相关推荐
MS08-067病毒剖析
【染毒现象】
感染上Worm.Win32.MS08-067.c病毒的机器,其典型的染毒特征是: 1. 不断的向外发送垃圾数据包,并以此手段对全网进行传播。
2. 在本机的“任务计划”中添加大量以“AT”开头的任务计划,并且启动的时候大都是整
点,如11:00、13:00等。
3. 如是域环境,并且设置了域账户登录策略(登录密码输入错误几次之后锁定账户),会
造成域账户经常被锁,因为该病毒会不断的猜测域账户密码。
4. 造成无法正常访问瑞星官网和微软官方网站,以及其它部分安全网站。停止或是重启
“DNS Client”服务之后,可以打开上述网站,但重启电脑后又无法打开。
【传播方式】
Worm.Win32.MS08-067.c是一个利用微软系统MS08-067漏洞为主要传播手段的的蠕虫病毒。
另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,如局域网中存在可读写的共享,也会造成该病毒通过局域网共享进行传播。
【病毒分析】
首先病毒会判断系统版本是否是 Win2000或WinXP 以上系统,如果是病毒才继续执行,并且为病毒进程添加 SeDebugPrivilege 权限,对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量,判断自己是否是 rundll32.exe 程序启动的。如果不是就判断是否能找到\-k netsvcs\或者explorer.exe 进程,然后将自己的代码加载到这两个进程中的其中一个进程上,最后修改注册表,让系统不显示隐藏文件,从而使病毒可以被系统加载。
该病毒会在%windir%\\system32目录下释放一个动态库文件,名字随机生成,如XXXXXXX.DLL ;并且会以独占内存的方式存在,需要多次重启才能删除。
针对services.exe、\-k netsvcs\、\-k NetworkService\、进程进行DNS查询以及TCP传输过程拦截,针对杀毒软件关键字进行过滤,其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站。
停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务,并且改为手动,避免系统更新以及系统安全检查程序。
枚举网络计算机的用户名和自带的密码表,利用 IPC$ ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动,枚举驱动器 创建自身到 RECYCLER、System32文件夹下面,尝试访问 http://www.getmyip.org等网站得到中毒计算机的IP。通过访问http://www.google.com、http://www.http://www.wodefanwen.com/等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接,方便病毒作者更新。
【处理办法】
一、 使用专杀处理方式:(推荐)
① 首先将瑞星软件升级到最新版本并使用抓包工具确定病毒发包源,染毒机器一般都会通过139、445端口发送大量数据包,特别是在整点时段。
② 确定发包源后,将发包机器断网,进入安全模式之后清空多余的“任务计划”并使用专杀工具查杀,无论是否查出病毒都需重启,进入正常模式后将系统补丁全部打上,尤其是MS08-067补丁,该漏洞在微软上的补丁名称为:KB958644。
③ 确认MS08-067补丁正确打上:打上该补丁之后,在%windir%\\system32目录下会有一个netapi32.dll文件,并且需要确定该文件的版本是否正确,版本正确才证明正确打上该补丁了,否则需要通过控制面板卸载重装:
? windows2000 sp4系统下,此文件的版本应该为:5.0.2195.7203 ? windows xp sp2/sp3系统下,此文件的版本为:5.1.2600.3462/5694 ? windows 2003 SP1/SP2系统下,此文件版本为:5.2.3790.3229/4392 ? windows 2008 vista系统下,此文件版本为:6.0.6000.16764;6.0.6000.20937;6.0.6001.18157;6.0.6001.22288
④ 使用cmd命令进入命令行模式,使用“net share”命令查看本机共享,至少需要关闭所有读写共享,只读共享可以保留。
⑤ 定期修改系统密码,并需要设置十位以上强密码。尽量不使用域管理员账号在其它非域控机器上登录。
⑥ 最后使用已经升级到最新版的瑞星杀毒软件全盘杀毒,确定本机无病毒之后,再接入网内。
⑦ 所有发包源机器都处理完成之后,再执行全网同时杀毒,确保让病毒无处隐藏。如果有条件的,可以通过防火墙或交换机将135、139和445这三个常见的病毒利用端口屏蔽。
二、 手动处理方式:
① 首先通过“文件夹选项”显示出所有隐藏文件,包括受保护的操作系统文件。 ② 打开%windir%\\system32目录,将文件按详细信息排列,显示文件属性和创建日期。让文件按照属性排列,查看是否有可疑的DLL文件,并且为隐藏属性,注意创建的时间是否是染毒时间,确认之后在删除的时候提示无法删除。
③ 打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost,双击右侧的netsvcs,查看neisvcs的数值数据,查找其中的可疑项(此操作需要对net svcs的服务熟悉才行,一般可疑项会在wmdmpmsp之后)。
④ 记下此服务名,定位到
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wscServer,尝试删除此项,提示无法删除,查看此项权限,仅有system,且没有读取权限,可以增加权限,点击“高级”,勾选从父项继承和替换到子对象两个勾,提示都点击是和确定即可。操作后,即可删除wscserver项键值;
⑤ 重启计算机,删除一开始在%windir%\\system32目录下发现的可疑文件,删除HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001和
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002下的wscServer键值(避免恢复到上一次正确的配置后再次恢复此键值)即可。
正在阅读:
MS08-067病毒分析11-24
人教部编版(新版)2019年春九年级下册语文:13《短文两篇》后附答案12-01
八年级语文(上)人教版期末系统复习资料01-14
珍惜当前,永远胜于三心二意11-03
解读《中共中央关于深化党和国家机构改革的决定》课程的考试80分01-26
多媒体技术基础及应用试题及答案09-30
信息技术预测自然灾害的可能性04-11
- exercise2
- 铅锌矿详查地质设计 - 图文
- 厨余垃圾、餐厨垃圾堆肥系统设计方案
- 陈明珠开题报告
- 化工原理精选例题
- 政府形象宣传册营销案例
- 小学一至三年级语文阅读专项练习题
- 2014.民诉 期末考试 复习题
- 巅峰智业 - 做好顶层设计对建设城市的重要意义
- (三起)冀教版三年级英语上册Unit4 Lesson24练习题及答案
- 2017年实心轮胎现状及发展趋势分析(目录)
- 基于GIS的农用地定级技术研究定稿
- 2017-2022年中国医疗保健市场调查与市场前景预测报告(目录) - 图文
- 作业
- OFDM技术仿真(MATLAB代码) - 图文
- Android工程师笔试题及答案
- 生命密码联合密码
- 空间地上权若干法律问题探究
- 江苏学业水平测试《机械基础》模拟试题
- 选课走班实施方案
- 病毒
- 分析
- 067
- MS
- 08