網(wǎng)絡(luò)蠕蟲
Worm.Win32.Rahak.k
捕獲時(shí)間
2010-12-28
危害等級(jí)
中
病毒癥狀
該樣本是使用“C/C ”編寫的網(wǎng)絡(luò)蠕蟲程序,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用"FSG"加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為“368,604”字節(jié),圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網(wǎng)頁(yè)掛馬”等方式傳播,病毒主要目的是通過遠(yuǎn)程控制軟件Radmin傳播自身,控制被感染病毒的用戶電腦。
用戶中毒后,會(huì)出現(xiàn)系統(tǒng)運(yùn)行緩慢、存在大量未知可疑進(jìn)程、"exe"文件無法運(yùn)行、系統(tǒng)重要資料丟失等現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁(yè)掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Worm.Win32.Rahak.k”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.修復(fù)以下注冊(cè)表項(xiàng):
HKEY_CLASSES_ROOT\exefile\shell\open\command
2.刪除以下注冊(cè)表項(xiàng)目:
HKEY_CLASSES_ROOT\CLSID\{7B5F78DD-0171-47DA-C475-554825FF6940}\LocalServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:sysser
3.停止并刪除顯示名為"MSCoolServ"的服務(wù),并刪除相關(guān)注冊(cè)表項(xiàng):
HKEY_LOCAL_MACHINE\ControlSet001\Services\MSCoolServ
名稱:ImagePath
數(shù)據(jù):"C:\WINDOWS\system32\mscolsrv.exe" -service
4.修復(fù)所有本地磁盤中被感染的"html"、"htm"文件,并刪除與該類文件同名的"exe"文件。
5.刪除所有本地磁盤根目錄下名為"google.exe"的文件。
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.偽裝成網(wǎng)頁(yè)圖標(biāo)欺騙用戶點(diǎn)擊,該樣本運(yùn)行后,設(shè)置進(jìn)程報(bào)錯(cuò)模式,使病毒運(yùn)行更加隱蔽,并初始化socket。
2.獲取自身路徑,添加到以下"CLSID"注冊(cè)項(xiàng):
HKEY_CLASSES_ROOT\CLSID\{7B5F78DD-0171-47DA-C475-554825FF6940}\LocalServer32
添加開機(jī)啟動(dòng)項(xiàng),對(duì)應(yīng)以下注冊(cè)表項(xiàng):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:sysser
數(shù)據(jù):病毒運(yùn)行路徑
3.打開以下注冊(cè)表項(xiàng)目,獲取Radmin(遠(yuǎn)控軟件)的安裝路徑,并嘗試刪除注冊(cè)鍵值及軟件:
HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.1\Server\Parameters
名稱:LogFilePath
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters
名稱:LogFilePath
4.比較自身文件路徑是否為%SystemRoot%\system32文件夾下、名為mscolsrv.exe和svchsot.exe,若不是則復(fù)制自身到該文件夾下并更名為mscolsrv.exe和svchsot.exe
5.創(chuàng)建顯示名為"MSCoolServ"、類型為SERVICE_AUTO_START的系統(tǒng)服務(wù),對(duì)應(yīng)以下注冊(cè)表項(xiàng):
HKEY_LOCAL_MACHINE\ControlSet001\Services\MSCoolServ
名稱:ImagePath
數(shù)據(jù):"C:\WINDOWS\system32\mscolsrv.exe" -service
以"-service"參數(shù)運(yùn)行的病毒,復(fù)制自身到所有本地磁盤根目錄下,更名為"google.exe"。
6.從自身資源釋放COM組件動(dòng)態(tài)鏈接庫(kù)server.dll到%SystemRoot%\system32文件夾下,并運(yùn)行regsvr32.exe注冊(cè)該組件。
7.查詢以下注冊(cè)表項(xiàng),獲取本機(jī)啟動(dòng)文件夾路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
之后在啟動(dòng)文件夾下,創(chuàng)建文件system.vbs,再次開機(jī)后system.vbs被啟動(dòng)會(huì)調(diào)用之前注冊(cè)的組件用以啟動(dòng)%SystemRoot%\system32\svchsot.exe。
8.復(fù)制自身到%SystemRoot%\system32文件夾下,更名為syshid.exe,并修改注冊(cè)表中的"exe"文件啟動(dòng)關(guān)聯(lián),對(duì)應(yīng)以下注冊(cè)表項(xiàng)目:
HKEY_CLASSES_ROOT\exefile\shell\open\command
數(shù)據(jù): syshid.exe "%1" "%*"
用戶啟動(dòng)任何"exe"文件都會(huì)再次運(yùn)行病毒。
9.打開自身進(jìn)程令牌句柄,將自身權(quán)限提升到"SeDebugPrivilege"權(quán)限。
10.獲取自身啟動(dòng)命令行參數(shù),若無命令行參數(shù)則創(chuàng)建名為"Wkj7kw4ghoolpFl98jo"互斥體對(duì)象,防止重復(fù)運(yùn)行。
11.創(chuàng)建線程,遍歷所有本地磁盤,尋找擴(kuò)展名為"html"、"htm"的文件,若找到則向文件中添加以下代碼,并復(fù)制自身到相同目錄下并更名為相同名稱,并建立相同"CLSID"注冊(cè)項(xiàng),指向病毒文件,運(yùn)行被感染的"html"、"htm"文件都會(huì)運(yùn)行病毒:
"<OBJECT type=""application/x-oleobject""CLASSID=""CLSID:xxxx-xxxx-xxxx-xxxxx-xxxxxxxxxxxx""></OBJECT>"
HKEY_CLASSES_ROOT\CLSID\{xxxx-xxxx-xxxx-xxxxx-xxxxxxxxxxxx}\LocalServer32
名稱: sysser
數(shù)據(jù):病毒文件路徑
12.創(chuàng)建socket,并嘗試與"www.microsoft.com"建立連接,測(cè)試本機(jī)是否聯(lián)網(wǎng)。
13.若本機(jī)聯(lián)網(wǎng),則通過掃描IP地址從*.*.0.1到*.*.255.255上所開啟的TCP4899端口來查找運(yùn)行Radmin的計(jì)算機(jī)。
14.當(dāng)發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)后通過嘗試以下一些弱口令攻擊局域網(wǎng)計(jì)算機(jī),成功后拷貝自身到遠(yuǎn)程機(jī)器C:\wutemp目錄下,改名為srvsxc.exe。
病毒創(chuàng)建文件:
%SystemRoot%\system32\mscolsrv.exe
%SystemRoot%\system32\svchsot.exe
%SystemRoot%\system32\syshid.exe
%Documents and Settings%\All Users\「開始」菜單\程序\啟動(dòng)\system.vbs
X:\google.exe(x為所有本地磁盤盤符)
存在擴(kuò)展名xxx.html、xx.htm文件夾\xxx.exe
病毒刪除文件:
RAdmin(遠(yuǎn)控軟件)
病毒修改注冊(cè)表:
HKEY_CLASSES_ROOT\CLSID\{7B5F78DD-0171-47DA-C475-554825FF6940}\LocalServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
名稱:sysser
HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.1\Server\Parameters
名稱:LogFilePath
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters
名稱:LogFilePath
HKEY_LOCAL_MACHINE\ControlSet001\Services\MSCoolServ
名稱:ImagePath
數(shù)據(jù):"C:\WINDOWS\system32\mscolsrv.exe" -service
HKEY_CLASSES_ROOT\exefile\shell\open\command
數(shù)據(jù): syshid.exe "%1" "%*"
