Novarg/Mydoom蠕虫及其变种分析报告

发布日期：2004-02-05


受影响的软件及系统：
====================
Microsoft Windows Server 2003
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows NT 4.0
Microsoft Windows ME
Microsoft Windows 98
Microsoft Windows 95

综述：
======
Novarg/Mydoom蠕虫是2004.1.28开始传入我国的一个通过邮件传播的蠕虫。该蠕虫利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。除了传播自身之外，蠕虫还会对某些网站进行拒绝服务攻击。在传播和攻击过程中，会占用大量系统资源，导致系统运行变慢。蠕虫还会在系统上留下后门，通过该后门，入侵者可以完全控制被感染的主机。该蠕虫目前有两个变种：Mydoom.a和Mydoom.b。由于蠕虫的传播速度极快，所以目前已经在我国大范围流行。

如何判断自己受到感染:
=====================

如果您在最近一段时间，运行过类似上面描述的可疑邮件中的附件，并且觉得系统运行变慢，特别是打开网页、收取邮件等操作速度明显减慢，就需要检查一下，是否是被该蠕虫感染。

首先点击“开始”-->“运行”，如果您的操作系统是Windows ME、Windows 98或者Windows 95，在里面输入“command”，如果您的操作系统是Windows 2003、Windows XP、Windows 2000、Windows NT，在里面输入“cmd”。这样就会出现一个命令提示符。

然后，我们在命令提示符中输入：

---------------------------------------------------------------------------
dir /a /s %systemroot%\Ctfmon.dll
dir /a /s %systemroot%\shimgapi.dll
---------------------------------------------------------------------------

如果系统没有被该蠕虫感染，那么两条命令的返回结果都应该是类似下面这样：

---------------------------------------------------------------------------
驱动器 C 中的卷是 System
卷的序列号是 1234-5678
找不到文件
---------------------------------------------------------------------------

如果看到了类似下面的结果，则说明可能被蠕虫感染了：

---------------------------------------------------------------------------
驱动器 C 中的卷是 System
卷的序列号是 1234-5678

C:\WINNT\system32 的目录

2004-01-30  20:12               6,144 Ctfmon.dll
               1 个文件         6,144 字节

     列出所有文件:
               1 个文件         6,144 字节
               0 个目录   640,774,144 可用字节
---------------------------------------------------------------------------

解决方法：
==========
由于该蠕虫修改了注册表和一些系统文件，所以，对于普通用户，我们建议借助于杀毒软件来清除该蠕虫。另外，目前各大杀毒软件厂商基本上都提供了针对该蠕虫的专杀工具，可以到这些厂商的主站上下载使用。

如果您对Windows系统有一定的了解，有兴趣手工清除该蠕虫，可以参考技术分析部分的详细描述进行相应操作。

分析：
======
该蠕虫没有使用特别的技术和系统漏洞，之所以能造成如此大的危害，主要还是由于人们防范意识的薄弱，和蠕虫本身传播速度较快的缘故。

蠕虫作者可能手工抹去了程序中和编译器、开发环境相关的一些信息，。不过仔细分析，还是可以知道，程序是使用Visual Studio .NET开发的。

蠕虫在系统中寻找所有可能包含邮件地址的文件，包括地址簿文件、各种网页文件、各种动态网页文件等等。从中提取邮件地址，作为发送的目标。

蠕虫邮件的主题是下列之一：
Status
hi
test
hello
Error
Delivery Error
Returned mail
Server Report
Mail Transaction Failed
Mail Delivery System

包含的附件文件名是下列之一：
document
readme
doc
text
file
data
test
message
body

附件的扩展名是下列之一：
pif
scr
exe
cmd
bat
zip

目前又有很多准变种出现，所以上述附件名等特征也不是绝对的。

蠕虫本身用upx进行了压缩，并且对一些字符串资源作了rot13编码，可能是不愿意被脚本小子轻易修改后作为变种流传出去。蠕虫运行后会在系统中释放出一个dll，对于Mydoom.a，是Shimgapi.dll；Mydoom.b，释放出的文件名是Ctfmon.dll。并且在注册表的这个位置：
\\HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
添加相应键值，这样，登陆系统后，这个dll就会在资源管理器的进程空间中运行。该dll的功能是打开一个代理服务器，监听3127端口，如果该端口被占用，则递增，但不大于3198。

我们对Shimgapi.dll进行分析后发现，该后门有两个功能：
1、作为端口转发代理。
2、接收程序上传并执行。

当后门监听的端口收到连接之后，后门会对收到的第一个字符进行判断，如果第一个字符是0x04，则转入端口转发流程：

判断第一个字节是否0x04--> 判断第二个字节是否是0x01 --> 取第5~8四个字节作为目标IP地址 --> 取3、4两个字节作为目标端口 --> 进行连接并和当前socket作数据转发

类似的，如果第一个字符是0x85，则转入接收文件并执行的流程。也就是说只要构造符合一定格式的数据，发送给后门，就可以在机器上运行任意程序或者连接其他主机。对主机的安全威胁是很大的。

蠕虫会把自身拷贝到系统目录下。对于Mydoom.a，文件名是taskmon.exe；Mydoom.b是explorer.exe。并且在注册表的以下两个位置：
\\HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
\\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加相应键值，使其能够随在用户登陆系统后自动运行。

蠕虫会把自身复制到点对点共享软件KaZaa的共享目录下，并且取一些较有诱惑力的文件名。

Mydoom.b还会修改系统的hosts文件，将一些杀毒软件升级网站、微软下载站点、广告网站进行错误的解析。由于默认情况下，系统在进行域名解析时会优先使用hosts文件中的设定，所以这样的结果就是导致那些网站不能访问。

另外，Mydoom.a在2004年2月1到2004年2月12日之间，会对www.sco.com进行拒绝服务攻击，Mydoom.b中还添加了对微软网站的拒绝服务。拒绝服务的方式是向网站的WEB服务发送大量GET请求。

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技