首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2006-01)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

会破坏文件的恶性蠕虫“Blackworm”正在流行并即将发作

发布日期:2006-01-29


受影响的软件及系统:
====================
Windows 95
Windows 98
Windows ME
Windows NT
Windows 2000
Windows XP
Windows Server 2003

综述:
======
一个通过邮件和网络共享传播的蠕虫“Blackworm”正在流行。该蠕虫会在每个月的第3天破坏磁盘上的数据文件,最近一次破坏将发生在2月3日,也就是农历正月初六。

分析:
======
“Blackworm”蠕虫(以下简称Blackworm)运行后,会释放出下列文件:

%SystemRoot%\Rundll16.exe
%SystemRoot%\System32\scanregw.exe
%SystemRoot%\System32\Winzip.exe
%SystemRoot%\System32\Update.exe
%SystemRoot%\System32\WINZIP_TMP.EXE
%SystemRoot%\System32\SAMPLE.ZIP

如果感染的系统是Windows 95、Windows 98、Windows ME,那么上面的路径“%SystemRoot%\System32”应改为“%SystemRoot%\System”。

另外,Blackworm还会将自身拷贝为一个随机的文件名或者下面这些:

movies.exe
New WinZip File.exe
Zipped Files.exe

为了让自身能随系统的启动而运行,Blackworm会在注册表的自启动项增加键值:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry = "scanregw.exe /scan"


为了对抗反病毒软件,Blackworm还会在下列注册表自启动项中删除流行的反病毒软件所使用的键值:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

这些键值包括:

APVXDWIN、avast!、AVG7_CC、AVG7_EMC、AVG7_Run、AVG_CC、Avgserv9.exe、BearShare、defwatch、DownloadAccelerator、kaspersky、KAVPersonal50、McAfeeVirusScanService、NAV、Agent、OfficeScanNT、Monitor、PCCClient.exe、pccguide.exe、PCCIOMON.exe、PccPfw、Pop3trap.exe、rtvscn95、ScanInicio、SSDPSRV、TM、Outbreak、Agent、tmproxy、Vet、Alert、VetTray、vptray

另外,Blackworm还会在程序文件夹中搜索这些反病毒软件的目录,并删除其中的EXE和DLL文件:

%ProgramFiles%\Alwil Software\Avast4
%ProgramFiles%\BearShare
%ProgramFiles%\DAP
%ProgramFiles%\Grisoft\AVG7
%ProgramFiles%\Kaspersky Lab\Kaspersky Anti-Virus Personal
%ProgramFiles%\McAfee.com\Agent
%ProgramFiles%\McAfee.com\shared
%ProgramFiles%\McAfee.com\VSO
%ProgramFiles%\Morpheus
%ProgramFiles%\NavNT
%ProgramFiles%\Norton AntiVirus
%ProgramFiles%\Symantec\Common Files\Symantec Shared
%ProgramFiles%\Symantec\LiveUpdate
%ProgramFiles%\Trend Micro\Internet Security
%ProgramFiles%\Trend Micro\OfficeScan
%ProgramFiles%\Trend Micro\OfficeScan Client
%ProgramFiles%\Trend Micro\PC-cillin 2002
%ProgramFiles%\Trend Micro\PC-cillin 2003

Blackworm还会查询下面这些注册表键值,获取程序的安装目录,然后删除其中的EXE和DLL文件:

[HKEY_LOCAL_MACHINE\Software\INTEL\LANDesk\VirusProtect6\CurrentVersion]
[HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps]
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\101]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Panda Antivirus 6.0 Platinum]
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Iface.exe]

Blackworm会关闭所有标题包含下面这些字串的窗口:

SYMANTEC、SCAN、KASPERSKY、VIRUS、MCAFEE、TREND MICRO、NORTON、REMOVAL、FIX


Blackworm可以通过邮件和网络共享两种方式传播自身。

Blackworm会在系统中搜索包含“CONTENT.”和“TEMPORARY”的文件和下面这些扩展名的文件,从其中寻找邮件地址:

HTM、DBX、EML、MSG、OFT、NWS、VCF、MBX、IMH、TXT、MSF

然后向这些邮件地址发送自身。邮件主题可能是这些:

*Hot Movie*
A Great Video
Fw:
Fw: DSC-00465.jpg
Fw: Funny :)
Fw: Picturs
Fw: Real show
Fw: SeX.mpg
Fw: Sexy
Fwd: Crazy illegal Sex!
Fwd: image.jpg
Fwd: Photo
give me a kiss
Miss Lebanon 2006
My photos
Part 1 of 6 Video clipe
Photos
Re:
School girl fantasies gone bad

蠕虫本身将作为编码后的附件被发送。

Blackworm还会在网络中搜索共享文件夹和口令薄弱的系统,一旦找到有写权限的“ADMIN$”和“C$”共享,就会将自身以“WINZIP_TMP.EXE”的文件名复制过去。并通过Windows的“Task Scheduler”服务来远程运行拷贝过去的蠕虫。同时,Blackworm也会尝试通过访问网络共享来删除远程机器上的反病毒软件。


Blackworm会在每个月的第3天破坏磁盘上下列扩展名的文件:

DOC、XLS、MDE、MDB、PPT、PPS、RAR、PDF、PSD、DMP、ZIP

在其中写入垃圾数据:“DATA Error [47 0F 94 93 F4 K5]”。

解决方法:
==========
一些反病毒软件厂商提供了针对该蠕虫的专杀工具,可以使用这些专杀工具来清除蠕虫:
http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-w32.blackmal.b@mm.removal.tool.html

附加信息:
==========
http://isc.sans.org/blackworm
http://www.lurhq.com/blackworm.html
http://www.lurhq.com/blackworm-stats.html
http://www.symantec.com/avcenter/venc/data/w32.blackmal.e@mm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_GREW.A
http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fMywife.E%40mm

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技