首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2005-09)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

利用多个Windows漏洞的Dasher蠕虫正在流行

发布日期:2005-12-22


受影响的软件及系统:
====================
Windows 2000
Windows XP
Windows 2003
SQL Server 2000

综述:
======
近日出现了一种利用MS05-051、MS04-045、MS05-039、MS02-056等多个漏洞进行传播的新蠕虫。该蠕虫的后门模块是一个RootKit,能对自身进行隐藏和保护,并可能借此构建BotNet进行其他非法活动。由于该蠕虫利用的漏洞较新,可能有不少系统会受其影响。

该蠕虫被命名为“Dasher”。

分析:
======
Dasher蠕虫运行后,会在系统中增加下列文件:

    %WinDir%\System32\wins\Sqltob.exe   Dasher蠕虫文件主体
    %WinDir%\System32\wins\SqlExp.exe   MS04-045漏洞攻击程序
    %WinDir%\System32\wins\SqlExp1.exe  MS05-039漏洞攻击程序
    %WinDir%\System32\wins\SqlExp2.exe  MS05-051漏洞攻击程序
    %WinDir%\System32\wins\SqlExp3.exe  MS02-056漏洞攻击程序
    %WinDir%\System32\wins\SqlScan.exe  端口扫描程序
    %WinDir%\System32\wins\Result.txt   攻击日志
    %ProgramFiles%\nzspfrwy.log         Dasher蠕虫的击键记录文件
    %ProgramFiles%\nzspfrwy.dll         Dasher蠕虫RootKit部分的动态链接库
    %ProgramFiles%\nzspfrwy.dl1         Dasher蠕虫RootKit部分的动态链接库
    %ProgramFiles%\nzspfrwy.sys         Dasher蠕虫RootKit部分的驱动文件

为使系统不易再被他人入侵,达到“独占”该系统的目的,Dasher蠕虫会修改注册表:
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”下“SMBDeviceEnabled”的值修改为“0”;
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC”下“Start”的值修改为“4”。
这两处修改的目的是禁用SMB设备和MSDTC服务。

和以往蠕虫不同的是,Dasher蠕虫包含了RootKit部分。RootKit部分注册了名为“nzspfrwy”的服务,nzspfrwy.sys驱动通过HOOK系统调用实现了对自身文件的隐藏,和对通信进程的隐藏。

为了实现自启动,RootKit部分将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters”的“ServiceDll”值修改为“%ProgramFiles%\nzspfrwy.dll”,所以该RootKit会作为RPCSS服务启动,启动后再加载RPCSS服务真正的模块rpcss.dll。

nzspfrwy.dll加载运行后,会启动一个隐藏的IE进程,将nzspfrwy.dl1注入该进程。nzspfrwy.dl1中的代码会主动连接某个站点,从而实现远程反向连接的后门功能。

解决方法:
==========
如果在您的%WinDir%\System32\wins目录下发现了上述蠕虫文件,则表明您的系统已经感染了该蠕虫。可以参考以下方法手工删除:

1、同时按下Ctrl+Shift+Esc三个键,启动任务管理器,找到Sqltob.exe和SqlScan.exe进程,将其终止。

2、删除上面提到的%WinDir%\System32\wins下那些文件。

上述措施可以清除蠕虫的传播部分,但是无法清除RootKit部分。要清除RootKit部分可参考以下步骤:

1、用另一操作系统引导机器。譬如安装在同一硬盘上的另一个Windows,或者在机器上安装另一块包含操作系统的硬盘,或者用WinPE、Linux Live CD等可引导光盘来启动系统。

2、删除%ProgramFiles%\下对应的几个nzspfrwy.*文件。将%WinDir%\System32\rpcss.dll拷贝到%ProgramFiles%\nzspfrwy.dll。

3、重启系统后,运行regedit.exe,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters”,将“ServiceDll”的值改为“rpcss.dll”,然后重启动系统。如果有NTRK软件包,可以使用其中的SC命令来清除RootKit在注册表残余的键值:“sc delete nzspfrwy”,即使不清除,通常也不会有什么问题。

4、重启系统,删除%ProgramFiles%\nzspfrwy.dll。

为了防止再次被蠕虫感染,请尽快使用Windows Update安装最新的安全补丁,并使用防火墙保护系统。

附加信息:
==========
http://www.nsfocus.net/vulndb/8127
http://www.nsfocus.net/vulndb/7231
http://www.nsfocus.net/vulndb/7972
http://www.nsfocus.net/vulndb/3251
http://www.nsfocus.net/index.php?act=alert&do=view&aid=59

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技