J.J.Bear's Heaven

利用MS06-040漏洞的魔鬼波蠕虫现身

Mon, 14 Aug 2006 06:20:43 +0000

昨天国外安全产商就有报道截获最新的利用MS06-040的漏洞攻击的蠕虫病毒,今天上午国内反病毒产商江民和瑞星都第一时间截获并发布了公告,其中瑞星还为此发布了三级黄色预警,这也预示着该蠕虫可能将会在未来段时间内大面积传播开来!

微软在上周刚刚发布最新的安全公告中的MS06-040,在几天后就被利用并传播开来,与去年8月的"狙击波"的速度差不多,由此,我们应该更加重视补丁更新,在最短的时间内做好防范措施.其中企业用户尽快使用WSUS为客户机器安装好最新的补丁更新,防止蠕虫对网络的阻塞.

以下分析报告来自江民:

     据江民反病毒专家分析，“魔鬼波”蠕虫运行后，在系统目录下建立大小为9609字节的病毒文件wgareg.exe，该病毒文件经过加壳处理。病毒建立下面服务，以使自己可以在系统启动时自动运行。
        服务名：Windows Genuine Advantage Registration Service
        服务程序：wgareg.exe
        描述：Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling
        this service will result in system instability.


      “魔鬼波”通过TCP端口445利用MS06-040漏洞进行传播。蠕虫的传播过程可以在用户不知情的情况下主动进行，可能造成services.exe崩溃等现象。蠕虫还可通过AOL即时通讯工具自动发送包含恶意链接的消息。

       运行成功后，病毒会连接IRC服务器接收黑客命令，黑客的IRC服务器域名为：
            bniu.househot.com
            ypgw.wallloan.com
       经江民反病毒专家查询，以上2个服务器的IP分别位于贵州六盘水市电信和上海大学新校区。

通过黑客命令，“魔鬼波”蠕虫可以进行下载运行任意程序，进行拒绝服务攻击(DDoS)等活动，使得用户计算机完全被黑客控制。

以下图片来自瑞星:(系统遭受病毒攻击，出现服务崩溃症状)

汗...驱逐舰网站留言版被攻击

Wed, 05 Apr 2006 16:08:12 +0000

一进留言版就弹出对话筐,里面留言全部为空...从第一页一直到十九页全部是垃圾信息...真是晕
已经发信过去告知技术人员修复了,估计等明天白天了...

网址:http://www.vccn.com.cn/tech/listask.asp

{
return imgzoom(this);
}" onmouseover="function anonymous()
{
if(this.resized) this.style.cursor='hand';
}" style="WIDTH: 458px; HEIGHT: 256px" onclick="function anonymous()
{
if(!this.resized) {return false;} else {window.open('attachments/2006/04/05/1144252287_qzUSJmHodhPC.png');}
}" height="256" src="http://218.30.82.79/attachments/2006/04/05/1144252287_qzUSJmHodhPC.png" width="458" onload="function anonymous()
{
if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='点击在新窗口查看全图\nCTRL+鼠标滚轮放大或缩小';}
}" border="0" />

利用WMF漏洞恶意网页如雨后春笋般出现

Mon, 13 Mar 2006 10:44:59 +0000

微软在1月初就第一时间发布了MS06-001号补丁,这个补丁就是为了WMF中的一个漏洞特别提前发布的(我在1月6号这天就第一时间在BLOG上发布了紧急通告:http://old.springbbs.com/p/ms06-001.php).从一月底就开始陆续出现利用WMF漏洞的病毒,多数是出现在一些论坛或者网站上,被入侵后挂上了恶意的WMF的代码.现在这个漏洞可以说是雨后春笋般的出现,有些网站甚至连续几个页面都被挂了恶意的WMF文件,一旦有朋友没有打上该补丁即会中招,一些恶意的WMF中会下载包含了灰鸽子,QQ啊拉大盗等后门和木马,这些程序下载到本地后会对用户造成极大的安全隐患.因此补丁发布了2个多月后还是请大家一定得打好该补丁,切记切记!

恶鹰(Bagle)变种无休止~

Thu, 24 Nov 2005 10:45:12 +0000

'冷清'火速爆发中,恶鹰也没闲着,卡巴就在昨天的一个晚上时间,他们一共截获12个恶鹰的相关病毒样本,提醒大家注意.其中有5只Trojan-downloaders(命名为Trojan-Downloader.Win32.Bagle.d - h),另外7只为worms(蠕虫类型)(命名为:Email-Worm.Win32.Bagle.eo - eu).卡巴已经将其全部加入病毒库中,升级后即可对该病毒进行查杀.另外卡巴针对Trojan-Downloader.Win32.Bagle.f发布了中度预警,请小心防范~病毒的分析报告请参看卡巴链接:http://www.viruslist.com/en/viruses/encyclopedia?virusid=64620

重度风险蠕虫Sober变种y~

Thu, 24 Nov 2005 10:33:06 +0000

这个消息有点发布晚了,大家抱歉~~~卡巴于昨天发布了一个重度风险预警蠕虫Sober变种:Email-Worm.Win32.Sober.y.这例蠕虫以非常快的速度在欧美地区进行传播,因此全球各大反病毒公司也发布了相应等级的预警,其中Mcafee公司为中度风险预警;Symantec(塞门铁克)为3级预警;Panda(熊猫)为橙色预警;F-Secure(冰岛)为Radar Level 1的最高级别预警,可见该例蠕虫的危险性是相当大的,这里企业用户应该特别小心收取相关邮件.

邮件主题:(任意之一)

hi,_ive_a_new_mail_address
Mail delivery failed
Registration Confirmation
smtp mail failed
Spam: Registration Confirmation
Your Password
Your IP was logged
Paris_Hilton_&_Nicole_Richie
You visit illegal websites

邮件正文:(其中之一)

hey its me, my old address dont work at time. i dont know why*!

in the last days ive got some mails. i' think thaz your mails but im not sure!

plz read and check ...

cyaaaaaaa

---

This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached

---

Account and Password Information are attached!

***** Go to: http://www.{random}.com
***** Email: {random}.com

---

Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.

Yours faithfully,
Steven Allison

*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000

---

Account and Password Information are attached! ---

The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)

Download is free until Jan, 2006!

Please use our Download manager.

---

邮件附件:(其中之一)

mailtext.zip
mail.zip
reg_pass.zip
mail.zip
reg_pass-data.zip
question_list.zip
list.zip
downloadm
mail_body.zip

附件中的ZIP文件含有文件名：File-packed_dataInfo.exe

更加详细的报告请点击这里查看:http://www.viruslist.com/en/viruses/encyclopedia?virusid=99827

关于瑞星灰鸽子专杀工具测试(二)

Sat, 19 Nov 2005 15:58:35 +0000

上次已经对瑞星灰鸽子专杀进行了第一次测试(关于瑞星灰鸽子专杀工具测试(一)),今天继续来进行测试二.本次测试的灰鸽子样本卡巴报告为:Backdoor.Win32.Hupigon.pt,瑞星不能查杀.更加有趣的是这个样本和很多类似的灰鸽子不同的是主程序并不释放.DLL和_HOOK.DLL文件,而是只创建主程序,这样的话可以更好的测试该专杀工具对付不同灰鸽子的效果,同时也可以知道该工具是根据灰鸽子的创建文件规律来判断灰鸽子病毒的.下面是测试的过程:

首先运行病毒样本,随即在WIN目录下创建病毒文件G_Server1.2.exe,同时添加系统服务,名为:GrayPigeonServer;

接下来该病毒文件插入IE中,试图调用IE而保护文件不被轻易删除:

此时如果你掉出任务管理器,试图终止IE进程时,会提示无法终止该程序,拒绝访问:

现在启动瑞星专杀工具,进行杀毒测试,不过结果另人失望:

那么没办法了,只能手动清除它了.

打开注册表编辑器,可以清楚看到灰鸽子创建的系统服务

对应的注册表信息如下(其中包括服务描述,服务程序对应的路径):

在服务中可以清楚见到它(呵呵,虽然设置为自动,不过为什么没有启动呢?因为他现在已经启动了,刚刚不是已经插入了IE中吗,下次就直接作为服务启动了...呵呵):

刚刚上面看见了,由于它没有启动服务,所以可以先删除其服务,删除服务的方法很多,可以直接从注册表中删除,如上面注册表中那个图中对应的服务所有键值;也可以利用第三方工具删除,这里选择的是还是赫赫有名的HiJackThis,运行后可以清楚看到服务中的灰鸽子服务:

选中这项,在前面打上钩后修复就可以了.

删除服务后可以选择2种方式清楚G_Server1.2.exe这个病毒文件:第一种方法是可以借助第三方工具强行结束IEXPLORE进程,然后进入目录删除病毒文件;第二种方法是重新启动后直接删除病毒文件.

总结:

通过2次的测试,瑞星的该工具优缺点暴露出来了.

首先优点是能够判断灰鸽子比较普遍的创建规律而找到系统的中病毒文件和服务,进行清除,虽然清除方面还有一点点的小问题;

缺憾是该工具对于判断灰鸽子病毒的规律并不完全,可以说对于一些非常规的创建方式的灰鸽子辨别比较困难,可能出现辨别不出的现象,因此此工具目前来讲并非一个完美的工具;

当然,这个工具也还是只是1.0版本,相信瑞星以后会更多的升级该工具,同时用多种方式判别和查杀灰鸽子病毒,而且由于我能力有限,也不能完全保证我推断的结果正确,因此对于瑞星的该工具我们应该还是抱有很大的希望,希望它能给广大用户带来方便才是最实在的.

微软10月安全补丁有问题!?

Sat, 15 Oct 2005 13:01:49 +0000

微软网站今天出现一个KB号为909444的安全通报,通报表明在安装了MS05-051这个安全补丁后可能造成的一些系统故障,详细文库请参看如下链接:http://support.microsoft.com/kb/909444

MS05-051补丁是在十月的9个安全更新中的一个严重等级更新,主要针对"MSDTC 和 COM+ 中的漏洞可能允许远程执行代码"的补丁,受影响系统包括:Win 2000 sp4,Win xp(包括64位系统和32位下的SP1和SP2),Win 2003(包括32位下的SP1和64位以及64位下的安腾系统) .可以说NT以上都需要安装此更新,因此如果真如微软所说的存在其中这些问题,那么涉及的范围是非常之广的.而在我看到的一则新闻中表明,国外安全公司称针对MS05-051的漏洞很可能在短时间内被病毒作者利用制造出新的蠕虫病毒,这样就有可能出现如8月安全公告中提到的'ZABOT'蠕虫的迅速来袭而造成的巨大破坏,所以这个补丁又不得不打上.根据我个人反映和一些论坛上人反映,暂时都还没有出现如通报中提到的这些问题.我将会继续关注这个通报的反馈情况.下面是基本内容:

微软今天发布了最新公告，警告用户在安装周二新安全补丁前首先确认自己的系统默认Access控制列表许可是否经过更改，如果原设定改变，有可能造成一系列严重系统问题。

对于运行微软Windows XP、Windows 2000 Server以及Windows Server 2003的系统来说，以下一种或多种负面作用将在安装新安全补丁程序后发生。

1.无法启动Windows Installer服务

2.无法启动Windows防火墙服务

3.网络连接文件夹内容空白

4.Windows Update网站有可能错误推荐你修改IE Userdata设置。

5.运行微软IIS的ASP页面有可能产生“HTTP 500 – Internal Server Error”错误信息

6.微软COM＋事件系统无法启动

7.COM＋软件无法启动

8.授权用户无法登陆，进行10月安全升级后出现白屏现象。

警惕近来爆发的蠕虫病毒

Wed, 20 Apr 2005 15:19:03 +0000

近来有几例蠕虫病毒传播的速度比较快,爆发得比较频繁,变种也接踵而至.

首先注意的是BEAGLE的变种,早两天国内开始爆发的BEAGLE.BN(SYTMENTEC命名)变种,昨天报告了一例BEAGLE.BJ(毒霸命名)的变种.而且本蠕虫在国内流行范围比较快,需要广大朋友注意收取自己的邮件.

其次是MSN蠕虫变种.其中近来比较多的为这样两例:W32.Kelvir.AE（Symantec）W32.Kelvir.X（Symantec）,主要通过MSN上发送消息传播,使用MSN的朋友请注意了.一般格式为:"picture of you!http://www.drxclusives.info/*************email=*******@hotmail.com".

另外就是"冷清"的变种W32.Sober.N@ mm(Symantec)同时根据AVP截获的一个木马Trojan.Win32.VB.vi中能释放本最新的蠕虫.该蠕虫是通过蠕虫传播的,邮件附件特征为:your_text.zip.希望广大朋友注意收取邮件中的附件.

Email-Worm.Win32.Unis.a原创分析报告

Fri, 08 Apr 2005 17:36:39 +0000

由于本人刚刚开始进行样本分析,所以遗漏和错误之处在所难免,希望有识之士能不奢指出,您的指正对我将是莫大的鼓舞和进步.

下面是对该蠕虫的行为分析:

1.样本首先将自己加入到系统服务中，命名服务名为Universe，设置为自动。(见下图)

点击查看全图

2.然后在%system%下创建病毒副本：msvbvm60.exe文件,以迷惑用户误以为是微软的VB运行库文件安装程序.(注意:%system% 默认情况下，此文件夹为 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).)

3.同时将先前的Universe服务的对应文件改动为"msvbvm60.exe",以实现从后台开机自动启动.

手动删除蠕虫方法:

1.如果是XP/ME系统首先关闭XP/ME系统的自动还原.

2.按住键盘中的Ctrl+Alt+Del键调出任务管理器,然后手动结束msvbvm60.exe进程和Universe进程(如果有的话).

3.到%System%目录下找到msvbvm60.exe进行删除.

4.'开始'-->'运行'-->'regedit',进入注册表编辑器.然后找到左边的分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Universe,右健删除整个键值.刷新注册表后关闭注册表.(见下图)

点击查看全图

这个是比较简单清除的样本,但是要指出的是我在测试过程中没有安装防火墙,所以是否有对网络的访问我这里没有写出.另外这个样本没有对注册表的RUN键值进行改动也算是一个伎俩.

MYTOB蠕虫近期爆发

Wed, 06 Apr 2005 15:24:28 +0000

近来MYTOB蠕虫变种席卷而来.从昨天开始病毒邮件就开始在国内传播.请收取邮件的朋友要留心.该病毒是一例通过email、漏洞和共享进行传播的蠕虫.对于未打补丁的系统,很容易被MYTOP入侵,该蠕虫病毒入侵系统后会开后门被黑客控制和泄露机密信息，通过在HOST文件中添加文本，企图屏蔽大量安全厂商的主页和升级网站。在局域网中，更是进行弱密码攻击获得大量传播机会。

该蠕虫病毒特点大致有如下几点:

病毒邮件主题可能为：Error、Status、Server Report、Mail Transaction Failed、Mail Delivery、System、hello、Good day、<任意>

正文可能为：·Mail transaction failed. Partial message is available.
·The message contains Unicode characters and has been sent as a binary attachment.
·The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
·Here are your banks documents

近日注意蠕虫病毒爆发

Sat, 02 Apr 2005 18:32:40 +0000

根据近来各大反病毒公司的报告,近来有几例蠕虫病毒的出现和传播.其中有熟悉的蠕虫变种:Bagle变种;Sober变种Sober.N(SY);Mydoom变种Mydoom.BI(SY);MSN变种WORM_CHOD.B(PCC).这几例蠕虫变种都具有一定的威胁性.其中大部分通过MAIL传播,同时也有通过IM(及时通讯软件)传播的.国外反病毒产商已经发布了相关报告并且可以升级查杀.在此提醒广大的电脑用户在收取邮件的时候对于附件打开前一定要通过反病毒软件的最新病毒库扫描后才可确认是否打开;另外对于MSN和QQ上那些传输文件以及网页也要特别注意,对于陌生的网页不要点击进入,加之近来IE和OE又暴严重漏洞,所以大家务必小心.最最关键的就是系统的补丁一定要打好!

看了毒霸分析的MSNFunny病毒行为的补充

Sun, 27 Mar 2005 10:16:53 +0000

昨天晚上在机器上测试MSNFunny样本.主要是为了测试之前Qoo酷儿介绍的那个SMS.用了那个东西确实觉得不错,功能很强大.

我运行了MSNFUNNY的样本后,SMS马上提示有程序要写如注册表的RUN键值,然后出现如分析报告中的病毒行为一样的现象,包括DLL注入到EXPLORER,打开MSN等,但是我发现还有一个现象,那就是病毒在后台自动关闭了Windows Firewall/Internet Connection Sharing服务,并且将其设置为"禁用" (即WINDOWS XP SP2防火墙服务).另外在%system%下建立了一个1.BAT的批处理文件,打开后显示代码为":START...."等等,即为自动加载到注册表.这个是我看到的2个在行为报告中没有的提到的.不知道是否为报告遗漏还是我的特殊情况?

以下为报告的链接:http://vi.db.kingsoft.com/virus.php?fid=58

Beagle家族连发变种~~~

Wed, 02 Mar 2005 05:10:39 +0000

昨日(3月1日),蠕虫病毒BEAGLE(恶鹰)一连出现几个新的变种,传播速度也相当快,很多朋友都收到了类似的病毒邮件,其中的附件都是新变种的恶鹰.几乎所有的反病毒软件都积极做出了回应,国外诸如AVP;MACFEE;SYMANTEC;TRENDMICRO等等都作出了第一时间的升级,国内的反病毒产商也在晚上进行了及时迅速的升级处理,截至到目前,国内绝大部分杀毒软件都已经获得该病毒样本并且都已经进行了应急升级.但是由于该病毒邮件传播迅速,在这里还是要提醒大家注意收邮件,遇到可疑的邮件或附件运行前请一定先用专业的反病毒软件升级到最新病毒库进行一次扫描,以确保安全.

防范MS05-009漏洞攻击

Sat, 12 Feb 2005 17:59:47 +0000

从9号发现针对MS05-009漏洞的攻击代码以来,这个漏洞就开始慢慢被人注意,今天看见了PNG图片的样本,由此预测可能在接下来的时间这个漏洞的攻击将会大面积的出现,犹如先前的JPG图片漏洞一样...J.J.Bear在这里提醒各位请一定打好此安全更新,另外使用WMP9系列的,以及MSN MESSAGE6.1和6.2版本的请先更新你的软件版本.希望大家能加强防范,安全上网,严防漏洞攻击!!!

受影响的软件：

• Microsoft Windows Media Player 9 系列（在 Windows 2000、Windows XP 和 Windows Server 2003 上运行时）

• Microsoft Windows Messenger 5.0 版（可以安装在所有支持的操作系统上的单机版）

• Microsoft MSN Messenger 6.1

• Microsoft MSN Messenger 6.2

不受影响的软件：

• Windows Media Player 6.4

• Windows Media Player 7.1

• Windows Media Player for Windows XP (8.0)

• 用于 Windows XP Service Pack 2 的 Windows Media Player 9 系列

• Windows Media Player 10