SCO炸弹(Worm.Novarg)病毒分析报告
病毒名称:SCO炸弹(Worm.Novarg)
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:邮件
依赖系统: WINDOWS 9X/NT/2000/XP
病毒介绍:
1月27日,瑞星全球反病毒监测网率先截获一个传播力极强的蠕虫病毒,并命名为“SCO炸弹”(Worm.Novarg)病毒.该病毒通过电子邮件传播,感染用户电脑之后潜伏下来,等到系统日期为2004年2月1日时发作,利用受感染电脑对SCO网站进行拒绝服务式攻击。
据瑞星反病毒工程师分析,此病毒最先在欧美爆发,主要目的是利用大量受感染电脑攻击SCO公司的官方网站,很可能是LINUX爱好者编写。
该病毒利用电子邮件传播,伪装成电子邮件系统的退信,邮件标题可能为“Error”、“Mail Transaction Failed”、“Server ReportMail Delivery System”,附件后缀为“bat、cmd、exe、pif、scr、zip”,该附件即为病毒体。瑞星反病毒工程师提醒用户,如果收到类似可疑邮件,请不要打开附件。
病毒的特性、发现与清除:
1. 该病毒是蠕虫型病毒,采用upx压缩。
2. 病毒运行时会释放后门程序为:%System%\ shimgapi.dll,该后门为一个代理服务器,端口为3127至3198,该模块还能根据传来的命令接受一个文件到本地系统并执行。可将该病毒文件直接删除。
注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。
4. 病毒运行时会将自身复制为:%System%\taskmon.exe,目的是冒充系统的任务管理器,广大计算机用户要注意分辨。可将该病毒文件直接删除。
5. 病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行,则会立刻将该程序关闭,目的是防止用户查看内存中的病毒进程。
6. 病毒运行时会修改注册表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒键值:"(Default)" = "%System%\ shimgapi.dll ",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
7. 病毒会修改注册表的自启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
在其中加入病毒键值:" TaskMon ",目的是开机时可以自动运行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
8. 病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个,如果攻击成功,将会导致这两个网站瘫痪,无法向用户提供服务。
9. 病毒运行时将会在以下类型: .htm ,.sht ,.php ,.asp ,.dbx ,.tbb ,.adb
.pl ,.wab ,.txt的文件中搜索email地址(病毒将避开.edu结尾的email地址),并向这些地址发送病毒邮件。
10. 病毒邮件的附件是病毒体,采用双后缀形式来迷惑用户,常用的后缀为:.htm、.txt、.doc
11. 病毒邮件为以下内容:
病毒邮件的标题为以下其中之一:
test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status
Error
邮件内容为病毒用随机的数据进行编码。
当编码失败时病毒用:
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
test
The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
或空内容作为邮件正文。
邮件的附件名为以下其中之一:
document,readme,doc,text,file,data,test,message,body
扩展名为以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip
12. 该病毒能通过一些P2P共享软件进行传播,病毒运行时会通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。
文件名为:
winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP, office_crack,nuke2004。
扩展名为:
.pif,.scr,.bat,.exe
瑞星反病毒专家的安全建议:
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报,这样才能真正保障计算机的安全。
SCO炸弹变种B(Worm.Novarg.B)病毒档案
病毒名称:SCO炸弹变种B(Worm.Novarg.B)
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播途径:邮件
依赖系统: WINDOWS 9X/NT/2000/XP
病毒介绍:
1月29日,瑞星全球反病毒监测网率先截获“SCO炸弹”病毒的一个新变种,并命名为“SCO炸弹变种B”(Worm.Novarg.b)病毒。据瑞星反病毒工程师介绍,与“SCO炸弹”不同,该病毒已经把攻击的矛头直接指向微软,将对微软网站发动拒绝服务式攻击。瑞星技术服务部门27日通过国内病毒监测网监测到1000多封携带该病毒的用户邮件,而1月29日已经上升至4000多封,并有急剧增长的趋势。
据瑞星反病毒工程师分析,该病毒变种的技术特性与“SCO炸弹相似”,利用病毒邮件的大量传播感染用户电脑,把感染的电脑当作代理服务器针对特定网址发送拒绝服务式攻击,这种攻击方式目前没有有效的预防措施。和“SCO炸弹”一样,该病毒变种不会感染以EDU结尾的邮件地址,尽管病毒编写者的主要目的是为了攻击微软和SCO公司,但由于带毒邮件的大量传播会消耗网络资源,并对系统设置后门,对普通用户的正常使用造成很大安全风险。
病毒的特性、发现与清除:
1. 该病毒是蠕虫型病毒,采用upx压缩,病毒体大小为29,184字节。
2. 病毒运行时会释放后门程序为:%System%\Ctfmon.dll,该后门程序使用以下TCP端口: 80、 1080、 3128、8080、10080,该后门可以下载或执行任何有害代码。可将该病毒文件直接删除。
注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。
4. 病毒运行时会将自身复制为:%System%\Explorer.exe,目的是冒充系统的资源管理器,但系统的资源管理器是在%Windir%目录,而不是在%System%目录,广大计算机用户要注意分辨。可将该病毒文件直接删除。
注意::%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。
5. 病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行,则会立刻将该程序关闭,目的是防止用户查看内存中的病毒进程。
6. 病毒运行时会修改注册表:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒键值:"(Default)" = "%System%\ctfmon.dll",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
7. 病毒会修改注册表的自启动项:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在其中加入病毒键值:"Explorer" = "%System%\Explorer.exe",目的是开机时可以自动运行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
8. 病毒会修改系统的HOST文件,使用户无法正常登陆下列网站:
• ad.doubleclick.net
• ad.fastclick.net
• ads.fastclick.net
• ar.atwola.com
• atdmt.com
• avp.ch
• avp.com
• avp.ru
• awaps.net
• banner.fastclick.net
• banners.fastclick.net
• ca.com
• click.atdmt.com
• clicks.atdmt.com
• dispatch.mcafee.com
• download.mcafee.com
• download.microsoft.com
• downloads.microsoft.com
• engine.awaps.net
• fastclick.net
• f-secure.com
• ftp.f-secure.com
• ftp.sophos.com
• go.microsoft.com
• liveupdate.symantec.com
• mast.mcafee.com
• mcafee.com
• media.fastclick.net
• msdn.microsoft.com
• my-etrust.com
• nai.com
• networkassociates.com
• office.microsoft.com
• phx.corporate-ir.net
• secure.nai.com
• securityresponse.symantec.com
• service1.symantec.com
• sophos.com
• spd.atdmt.com
• support.microsoft.com
• symantec.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• vil.nai.com
• viruslist.ru
• windowsupdate.microsoft.com
• www.avp.ch
• www.avp.com
• www.avp.ru
• www.awaps.net
• www.ca.com
• www.fastclick.net
• www.f-secure.com
• www.kaspersky.ru
• www.mcafee.com
• www.microsoft.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.ru
• www3.ca.com
9. 病毒会在指定日期内,对www.microsoft.com和www.sco.com两个网站进行DoS攻击,如果攻击成功,将会导致这两个网站瘫痪,无法向用户提供服务。
10. 病毒运行时会搜索以下类型:.htm、.sht 、.php 、 .asp 、.dbx 、.tbb 、.adb 、.pl 、.wab 、.txt的文件,在其中寻找有效的邮件地址,然后向这些地址发送病毒邮件。
11. 病毒邮件的附件是病毒体,采用双后缀形式来迷惑用户,常用的后缀为:.htm、.txt、.doc
12. 病毒邮件为以下内容:
病毒邮件的标题可能为:
Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
病毒邮件的正文可能为:
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
13. 该病毒能通过一些P2P共享软件进行传播,病毒运行时会将自身拷贝到Kazaa软件的下载目录下,共命名为:
• icq2004-final
• Xsharez_scanner
• BlackIce_Firewall_Enterpriseactivation_crack
• ZapSetup_40_148
• MS04-01_hotfix
• Winamp5
• AttackXP-1.26
• NessusScan_pro
诱惑该软件的其它用户点击,从而达到传播的目的。
专杀工具:
瑞星专杀工具:http://download.rising.com.cn/zsgj/RavNovarg.exe
金山专杀工具:http://download01.duba.net/download/othertools//Duba_Novarg.EXE
诺顿专杀工具:http://down.tech.sina.com.cn/cgi-bin/download.cgi?s_id=10374&href=0