MS08-067病毒分析

MS08-067病毒剖析

【染毒现象】

感染上Worm.Win32.MS08-067.c病毒的机器，其典型的染毒特征是： 1. 不断的向外发送垃圾数据包，并以此手段对全网进行传播。

2. 在本机的“任务计划”中添加大量以“AT”开头的任务计划，并且启动的时候大都是整

点，如11:00、13:00等。

3. 如是域环境，并且设置了域账户登录策略（登录密码输入错误几次之后锁定账户），会

造成域账户经常被锁，因为该病毒会不断的猜测域账户密码。

4. 造成无法正常访问瑞星官网和微软官方网站，以及其它部分安全网站。停止或是重启

“DNS Client”服务之后，可以打开上述网站，但重启电脑后又无法打开。

【传播方式】

Worm.Win32.MS08-067.c是一个利用微软系统MS08-067漏洞为主要传播手段的的蠕虫病毒。

另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表，会猜解网络中计算机的登录密码，如局域网中存在可读写的共享，也会造成该病毒通过局域网共享进行传播。

【病毒分析】

首先病毒会判断系统版本是否是 Win2000或WinXP 以上系统，如果是病毒才继续执行，并且为病毒进程添加 SeDebugPrivilege 权限，对本机计算机名称进行 CRC32 计算,通过得到的 CRC32 值创建病毒互斥量，判断自己是否是 rundll32.exe 程序启动的。如果不是就判断是否能找到\-k netsvcs\或者explorer.exe 进程，然后将自己的代码加载到这两个进程中的其中一个进程上，最后修改注册表，让系统不显示隐藏文件，从而使病毒可以被系统加载。

该病毒会在%windir%\\system32目录下释放一个动态库文件，名字随机生成，如XXXXXXX.DLL ；并且会以独占内存的方式存在，需要多次重启才能删除。

针对services.exe、\-k netsvcs\、\-k NetworkService\、进程进行DNS查询以及TCP传输过程拦截，针对杀毒软件关键字进行过滤，其中包含 rising、avast、nod32、mcafee 等等。使当前中毒计算机无法访问安全厂商的网站。

停止 wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务，并且改为手动，避免系统更新以及系统安全检查程序。

枚举网络计算机的用户名和自带的密码表，利用 IPC$ ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动，枚举驱动器 创建自身到 RECYCLER、System32文件夹下面，尝试访问 http://www.getmyip.org等网站得到中毒计算机的IP。通过访问http://www.google.com、http://www.http://www.wodefanwen.com/等等网站得到当前月数。再通过时间经过内置算法计算病毒的升级链接，方便病毒作者更新。

【处理办法】

一、 使用专杀处理方式：（推荐）

① 首先将瑞星软件升级到最新版本并使用抓包工具确定病毒发包源，染毒机器一般都会通过139、445端口发送大量数据包，特别是在整点时段。

② 确定发包源后，将发包机器断网，进入安全模式之后清空多余的“任务计划”并使用专杀工具查杀，无论是否查出病毒都需重启，进入正常模式后将系统补丁全部打上，尤其是MS08-067补丁，该漏洞在微软上的补丁名称为：KB958644。

③ 确认MS08-067补丁正确打上：打上该补丁之后，在%windir%\\system32目录下会有一个netapi32.dll文件，并且需要确定该文件的版本是否正确，版本正确才证明正确打上该补丁了，否则需要通过控制面板卸载重装：

? windows2000 sp4系统下，此文件的版本应该为:5.0.2195.7203 ? windows xp sp2/sp3系统下，此文件的版本为:5.1.2600.3462/5694 ? windows 2003 SP1/SP2系统下，此文件版本为：5.2.3790.3229/4392 ? windows 2008 vista系统下，此文件版本为：6.0.6000.16764；6.0.6000.20937；6.0.6001.18157；6.0.6001.22288

④ 使用cmd命令进入命令行模式，使用“net share”命令查看本机共享，至少需要关闭所有读写共享，只读共享可以保留。

⑤ 定期修改系统密码，并需要设置十位以上强密码。尽量不使用域管理员账号在其它非域控机器上登录。

⑥ 最后使用已经升级到最新版的瑞星杀毒软件全盘杀毒，确定本机无病毒之后，再接入网内。

⑦ 所有发包源机器都处理完成之后，再执行全网同时杀毒，确保让病毒无处隐藏。如果有条件的，可以通过防火墙或交换机将135、139和445这三个常见的病毒利用端口屏蔽。

二、 手动处理方式：

① 首先通过“文件夹选项”显示出所有隐藏文件，包括受保护的操作系统文件。 ② 打开%windir%\\system32目录，将文件按详细信息排列，显示文件属性和创建日期。让文件按照属性排列，查看是否有可疑的DLL文件，并且为隐藏属性，注意创建的时间是否是染毒时间，确认之后在删除的时候提示无法删除。

③ 打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SvcHost，双击右侧的netsvcs，查看neisvcs的数值数据，查找其中的可疑项（此操作需要对net svcs的服务熟悉才行，一般可疑项会在wmdmpmsp之后）。

④ 记下此服务名，定位到

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\wscServer，尝试删除此项，提示无法删除，查看此项权限，仅有system，且没有读取权限，可以增加权限，点击“高级”，勾选从父项继承和替换到子对象两个勾，提示都点击是和确定即可。操作后，即可删除wscserver项键值；

⑤ 重启计算机，删除一开始在%windir%\\system32目录下发现的可疑文件，删除HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001和

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet002下的wscServer键值（避免恢复到上一次正确的配置后再次恢复此键值）即可。

本文来源：https://www.bwwdw.com/article/ro9t.html