首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2004-10)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

利用MSN Messenger和QQ传播的蠕虫“funny”正在流传

发布日期:2004-10-11


受影响的软件及系统:
====================
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

综述:
======
绿盟科技安全小组监测到互联网上出现了一个利用MSN Messenger和QQ传播的蠕虫,目前在国内的传播面比较大。由于该蠕虫修改了重要的注册表键值,不恰当地清除蠕虫可能导致系统无法登陆。

分析:
======
该蠕虫在系统上运行后,会进行以下动作:

1、将自身拷贝为:
%SystemRoot%\rundll32.exe
%SystemRoot%\system32\IEXPLORE.EXE
%SystemRoot%\system32\explorer.exe
%SystemRoot%\system32\userinit32.exe

2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的“Userinit”修改为指向%SystemRoot%\system32\userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加运行%SystemRoot%\rundll32.exe的项。

3、修改%system32%\drivers\etc\hosts文件,将大量域名指向222.89.98.219,这样,用户访问这些域名的时候,实际访问的是222.89.98.219。

4、蠕虫会同时运行自身的多个拷贝,如果其中一个进程被中止,则其余进程会立即将它再运行。

5、如果系统运行了QQ或者MSN Messenger,蠕虫会向每一个联系人发送一条消息,包括一句话和一个指向http://www.78p.com/的链接,并试图将自身以文件“funny.exe”传输。

解决方法:
==========
预防:

如果您接收到包含http://www.78p.com/的消息,和funny.exe的文件传输请求,请拒绝。

检查是否被感染:

检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,则说明可能已经被蠕虫感染。

清除:

对于Windows 2000/XP,请按照下面步骤进行:

1、在命令提示符中输入下列命令,将蠕虫改名:
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir

2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe。

3、重启系统

4、在命令提示符中输入下列命令,删除蠕虫文件:
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir

4、修改注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项。

5、在命令提示符中输入下列命令,修复hosts文件:
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts
del hosts.tmp

如果已经不恰当地删除了蠕虫,并导致系统无法正常登陆。请按照如下步骤进行:

1、用Windows 2000(或者Windows XP/2003)安装光盘引导系统,在“欢迎使用安装程序”的界面上按“R”键,选择修复。

2、然后按“C”键选择使用故障恢复控制台。

3、键入一个数字,选择某个Windows 安装,通常是“1”。然后输入管理员密码。

4、进入system32目录,输入命令:
del  userinit32.exe
copy userinit.exe userinit32.exe

5、重启系统,将上面介绍的清除蠕虫的办法再进行一遍。

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技