WORM_DOWNADAD病毒解决方案.docx

WORM_DOWNAD.AD病毒解决方案目录1.概述32.病毒详细信息42.1病毒进入途径42.2病毒安装细节42.3自动启动细节52.4病毒传播方式53.病毒清除方法74.病毒感染分析84.1系统漏洞攻击84.2网络共享攻击94.3USB设备上的WORM_DOWNAD病毒94.4WORM_DOWNAD病毒感染分析105.病毒预防后续建议121. 概述2008年11月，微软发布安全公告MS08-067(KB958644)，公布了一个Server服务的系统漏洞。随后，利用该漏洞攻击而实现传播的病毒开始出现，这就是人们称为“扫荡波”的WORM_DOWNAD.A病毒。随后，该病毒的变种WORM_DOWNAD.AD出现，通过系统漏洞、网络共享和USB设备的混合式传播方式，迅速在国内各医疗行业内呈现爆发的态势。而此后的WORM_DOWNAD.AY、WORM_DOWNAD.KK、WORM_DOWNAD.DAM等病毒均采用类似的传播方式。此类病毒我们通称为WORM_DOWNAD系列病毒(其他防病毒厂商也有称之为Conflicker飞客)。2. 病毒详细信息2.1 病毒进入途径该蠕虫病毒可以通过其他恶意程序释放或被其他恶意程序从恶意网站下载，也可以与其他病毒捆绑，通过用户访问恶意网站而感染。这通常是用户初次感染病毒（病毒进入用户网络环境）的主要途径。2.2 病毒安装细节该蠕虫病毒感染系统后，会在%system%目录下创建一个随机文件名的动态链接库文件作为自身的copy：%System%Random file name.dll(注：%System%是系统目录，通常是C:Windowssystem32)并且该病毒会将自身文件的修改时间设置为与KERNEL32.DLL相同，以实现更好的隐藏。随后，病毒会检查当前操作系统，将自身插入到系统进程SVCHOST.EXE（针对Win XP和Win 2003）或者SERVICES.EXE（针对Win 2000）。同时，病毒会插入到SVCHOST.EXE并hook到NetpwPathCanonicalize系统服务函数，来避免对本机的重复感染。病毒还可能会将自身复制到以下目录：l %Application Data% l Default system directory l %Program Files%Internet Explorer l %Program Files%Movie Maker l %Temp%病毒会将它所释放的所有自身拷贝文件都进行锁定，禁止用户对该文件执行读、写、删除等操作。2.3 自动启动细节该蠕虫将在注册表中创建如下自动启动项目以便运行：HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunRandom characters = rundll32.exe System folderMalware file name.dll, Parameters同时病毒会将自身注册为一个系统服务，该服务使用随机服务名称，并调用SVCHOST来执行病毒DLL，以实现更好的隐藏。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameImage Path = %Windows%System32svchost.exe -k netsvcsHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRandom service nameParametersServiceDll = Malware path and file name 2.4 病毒传播方式该蠕虫可以通过系统漏洞、网络共享和移动磁盘进行传播。a. 系统漏洞传播病毒通过微软安全公告MS08-067(KB958644)提及的操作系统Server服务漏洞进行攻击和传播。染毒计算机会被架设为一台HTTP服务器，并通过445端口攻击其他计算机相关漏洞，使其他计算机从染毒主机下载病毒文件。b. 网络共享传播病毒会将自身复制到所有可移动磁盘及网络映射驱动器的Removable DriveRecyclerS-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d 目录中，并释放一个autorun.inf，使用户在双击该分区盘符时触发病毒运行。c. 移动磁盘传播病毒通过共享传播时，会首先使用NetServerEnum AIP来找到网络中所有活动主机，尝试使用本机已经登陆的帐号访问网络中其他计算机，同时也会使用NetUserEnum API获取用户帐号，并使用密码字典暴力破解远程主机的帐号密码。一旦成功登陆到远程计算机，病毒会在远程主机的默认共享中Admin$System32目录下复制自身的copy，并在远程主机%Windows%Tasks目录下创建一个计划任务，使用NetScheduleJobAdd API来实现运行它所复制的病毒。被创建的计划任务文件（.JOB）可以被检测为TROJ_DOWNADJOB.A。3. 病毒清除方法趋势科技2009年2月发布的5.787.00以上版本病毒码及8.913以上版本扫描引擎了包含对该病毒的检测，在使用趋势OfficeScan 8.0以上版本的客户端上可以实现对该病毒的预防和查杀。对于已经感染该病毒的计算机，可以安装包含最新病毒码和扫描引擎的OfficeScan客户端，在执行全盘扫描后即可查杀该病毒。对于暂时无法安装OfficeScan客户端的计算机，可以使用以下专杀工具在受感染的计算机上执行，即可查杀该病毒。(解压缩密码:novirus)4. 病毒感染分析由于该病毒能够自主传播，因此当观察到该病毒的日志时，需要通过分析以确认产生日志的计算机是否为病毒源，还是遭受病毒攻击而产生的病毒日志。当一台计算机存在安全弱点而遭受该病毒的攻击（网络共享或系统漏洞攻击）时，OfficeScan可以成功将进入的病毒文件删除，这台计算机实际上并未感染病毒，无需处理。因此，当观察到WORM_DOWNAD的病毒日志时，需要将病毒日志导出进行分析，以确认病毒是否感染，并尝试找出病毒源头。4.1 系统漏洞攻击当一台计算机未安装MS08-067(KB958644)补丁时，就有可能被网络中的WORM_DOWNAD病毒源通过系统漏洞实现攻击，进而产生日志。遭受漏洞攻击的计算机产生的病毒日志均显示病毒文件存在于IE临时目录下，如下示例：通常伴随着IE临时目录下的病毒日志的同时，也会产生系统目录下名为x的文件被检测，而x文件通常能够被OfficeScan隔离。当观察到此类日志时，表示该计算机存在系统漏洞，没有安装MS08-067相关系统补丁。该计算机遭受病毒攻击后，病毒文件进入系统后会被OfficeScan查杀，该计算机并未感染病毒。对于此类计算机，需要尽快为其安装系统补丁。对于漏洞攻击传播的病毒，无法通过病毒日志分析病毒感染源(攻击源)，但可以使用趋势科技威胁发现服务产品(TDA)发现病毒源。4.2 网络共享攻击当一台计算机使用弱密码时，或域控允许本机域账号登陆其他计算机时，WORM_DOWNAD病毒可能通过共享向其他计算机传播病毒。通过共享传播的病毒在进入系统时，病毒日志中会出现感染源的记录。此类病毒日志如下示例：该病毒通过共享传播时，会传播2种文件：一种是病毒自身的copy，一种是计划任务文件At1.job，分别传播到系统Windows中的system32目录下和Task目录下。当病毒文件进入时，能够被OfficeScan查杀，该计算机未感染病毒。此类计算机需要加强密码强度，同时需要在域策略中禁止一个帐号登陆多台计算机。对于此类日志中显示的感染源，通常为感染病毒的计算机，即病毒源头。需要尽快将病毒源主机定位并处理，以避免攻击的继续。4.3 USB设备上的WORM_DOWNAD病毒由于WORM_DOWNAD病毒能够通过USB设备传播，因此可能在USB设备上检测到该病毒。通常在USB设备未启用写保护的情况下，病毒能够被OfficeScan成功查杀。在USB设备上的WORM_DOWNAD病毒产生的日志示例如下：从示例中看到，病毒文件所在路径均在USB设备的分区下。有时也会产生类似于DeviceHarddisk开头的文件路径，这是由于系统未为USB设备分配盘符时检测到病毒而产生的日志，如下示例：这种情况下，建议通知对应的用户，并可以通过加强USB设备管理，禁用USB设备或要求USB设备使用前必须扫毒，来避免该病毒通过USB设备传播。当USB设备没有启用写保护时，病毒均能够被OfficeScan成功查杀。该计算机未感染病毒。4.4 WORM_DOWNAD病毒感染分析当在系统目录下检测到WORM_DOWNAD病毒时，若发现病毒日志的“处理措施”中显示“隔离未完成”或“拒绝访问，暂时无法隔离”等处理失败的记录时，则该计算机可能已经感染病毒。类似病毒日志示例如下：通常此类情况可能是计算机感染病毒，病毒进程启动后无法被隔离或删除，需要用户重启计算机才能完成对病毒的查杀。对于此类计算机需要尽快处理，可以通过OfficeScan扫描C:分区后重启计算机的方式查杀病毒，或通过以上第2章中提供的专杀工具查杀病毒。当系统目录中存在WORM_DOWNAD病毒且无法隔离时，无论是否存在感染源，该计算机均有可能已经感染病毒。此时请忽略“感染源”（这是由于OfficeScan的感染源存在一定准确率的问题，OfficeScan判断感染源是否存在是基于：检测到当前病毒时是否有计算机通过网络共享连接到本机）。5. 病毒预防后续建议从WORM_DOWNAD病毒传播方式来看，该病毒通过系统漏洞攻击、网络共享、移动磁盘传播，因此对该病毒的防范主要包括以下几点：a. 加强系统补丁管理，所有计算机都需要及时安装系统补丁，特别关注MS08-067(KB958644)补丁；b. 可以通过部署网络边界处恶意代码防范，以拦截所有针对系统/软件漏洞发起的攻击；c. 口令管理需要进一步加强，将域账号与