利用MSN Messenger的蠕虫“winhost”正在流传

发布日期：2005-02-03


受影响的软件及系统：
====================
MSN Messenger
    Microsoft Windows 95
    Microsoft Windows 98
    Microsoft Windows ME
    Microsoft Windows NT 4
    Microsoft Windows 2000
    Microsoft Windows XP
    Microsoft Windows 2003

综述：
======
绿盟科技安全小组监测到互联网上出现了一个新的蠕虫。该蠕虫既可以像“冲击波”一样利用Windows安全漏洞和弱点主动攻击系统，也可以像去年的“funny”蠕虫一样通过MSN Messenger传播。由于传播速度较快，目前在国内已经很流行。运行该蠕虫后，系统就可能被入侵者控制，导致泄密、数据丢失、系统或者网络异常等问题。

分析：
======
蠕虫运行后，会将自身拷贝到C盘根目录，文件名可能是下面这些中的某一个：

    LOL.scr
    Webcam.pif
    bedroom-thongs.pif
    naked_drunk.pif
    LMAO.pif
    ROFL.pif
    underware.pif
    Hot.pif
    new_webcam.pif

    另外，蠕虫会将自身拷贝到系统目录中，名为“msnus.exe”。还会在C盘根目录下创建一个名为“sexy.jpg”的图片文件，内容是一只烤鸡。

    蠕虫会在系统目录下创建文件“winhost.exe”，并在注册表中写入：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win32"="winhost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"win32"="winhost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"win32"="winhost.exe"

    蠕虫会利用 MSN Messenger，给所有联系人发送文件传输请求，试图将C 盘下的那些拷贝发送过去。

    除了利用 MSN Messenger传播之外，蠕虫还内置了针对RPC DCOM溢出、LSASS 溢出、IIS WebDAV溢出 、Microsoft PCT协议溢出、SQL Server弱口令、Windows 系统弱口令、MyDoom留下的后门等的攻击代码，可以主动攻击系统。攻击成功之后，就会利用自建的FTP 服务器来进行文件传输。所以，该蠕虫除了影响个人计算机外，也可能感染服务器。

    蠕虫会在系统内寻找“反恐精英”、“半条命”、“荣誉的勋章”、“虚幻”、“红色警戒”等流行游戏的CD-KEY，找到之后就会将其窃取。蠕虫还包含击键记录功能，可以窃取用户所有的键盘输入。

    蠕虫内置了利用IRC进行控制的代码，会主动连接到IRC服务器irc.arness.si 上的某个频道，接受入侵者的指令，这些指令包括对某个IP进行等DoS 攻击、下载文件、执行命令等。
    
    蠕虫内包含一份包含624 个文件名的列表，其中包括了各种杀毒软件、流行的病毒等，蠕虫一旦检测到系统中有这些进程，就会将其终止。

解决方法：
==========
为预防被蠕虫感染，对于从MSN Messenger 上接收到的文件传输请求，可先和对方进行对话，确认不是由蠕虫发起的，再接收。另外，需要确保系统已经安装了最新的安全补丁，并且不存在薄弱口令。

    网络管理员可以考虑暂时性地在边界设备上，阻塞对TCP端口6891~6899的访问，以阻止MSN Messenger 的文件传输。

    感染蠕虫后，可按照以下步骤清除：
    
1、同时按下Ctrl、Shift、Esc三个键，启动进程管理器。

2、在进程管理器中寻找“winhost.exe”和“msnus.exe”进程，将其终止。

3、在开始菜单的“运行”中输入“regedit.exe”，然后点击“确定”，运行注册表
   编辑器。找到下面这些键值，并将其删除。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win32"="winhost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"win32"="winhost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"win32"="winhost.exe"

4、在开始菜单的“运行”中输入“cmd.exe”，然后点击“确定”，运行命令提示符。
   在命令提示符中输入：

   attrib -H -R -S %SystemRoot%\system32\winhost.exe
   del %SystemRoot%\system32\winhost.exe
   del %SystemRoot%\system32\msnus.exe
   del C:\sexy.jpg

   再手工检查一下C:盘，看有无下面这些文件名中的某一个，将其删除：

    LOL.scr
    Webcam.pif
    bedroom-thongs.pif
    naked_drunk.pif
    LMAO.pif
    ROFL.pif
    underware.pif
    Hot.pif
    new_webcam.pif

附加信息：
==========
------------------------------------------------------------
文件            大小(字节)  MD5 Hash
------------------------------------------------------------
蠕虫主体        188,928     51a85861820137665b99837c2a66d698
winhost.exe     124,416     2c4afd7eba49f5f98452c8753dd83389
sexy.jpg        38,804      a7edfad498f758656f5bf460da187ba4
------------------------------------------------------------

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技