一个局域网蠕虫详细分析 - 杀毒防毒 - 红黑联盟
一个局域网蠕虫详细分析
近日，腾讯反病毒实验室从一些物理隔离，大区域超大局域网内发现一蠕虫样本，该蠕虫已在该网络中扩散，甚至渗透到该网络核心服务器上。
该蠕虫利用微软MS10-061打印机服务远程代码执行漏洞在局域网络内疯狂传播。该漏洞首次被发现并被应用于著名的Stuxnet蠕虫（俗称&震网&），后广泛被各种蠕虫利用。由于该网络被物理隔离，无法连接网络并修复该漏洞，从而让该蠕虫有可剩之机。
该样本最早出现于2011年，历经多个变种，目前控制该蠕虫的服务器已经失效。失去了黑客的控制该蠕虫并不具备直接侵害用户的能力，但并没有失去像脱缰的野马一样感染传播的能力。一直到现在该蠕虫也一直存在并危害着网络的安全。
1）当蠕虫值入机器后，把自己设置成开机自启动，并释放驱动文件，把该驱动设置为服务自启动。该驱动负责突破系统TCP半开连接数限制，以方便蠕虫通过网络传播。
2）感染系统的可移动驱动器（即U盘等），可通过U盘传播自身。
3）通过MS10-061打印机服务远程代码执行在局域网传播自身。并尝试利用一些弱口令企图猜解并取得主机权限，危及整个网络的安全。
4）为计算机设置了一个后门，不断尝试连接远程黑客服务器，收集用户信息，接收黑客指令，并可获取黑客远程服务器木马并执行，带来严重安全隐患。
3、样本详细分析
（基本流程图）
3.1 反侦察能力（傀儡进程，字串加密，反虚拟机，隐藏进程）
该蠕虫有较强的反侦察和反调试能力。
1）蠕虫运行后会进行一系列的判断，反调试，沙箱，VM虚假机，监控软件等检测。若发现不对劲马上退出。
其所需用到的API是通过解释kernel32.dll导出表获得LoadLibrary和GetProcAdress地址，从而获得其他所需的API地址。
在蠕虫后续的运行过程中，还会效验当前机器的用户名是否包含&sandbox&，&vmware&等敏感字符串，若存在则马上退出。
2）蠕虫在运行过程中，会使用很多字符串，大部份字符串都被其异或加密起来，在使用前解密，使用后马上清空字符串。
对字符串的两组加密解密函数多达40多个。大大增加其静态分析的难度。
3）当蠕虫运行环境检测通过后，会创建一个自身的傀儡进程，并读取自身shellcode资源，把shellcode注入傀儡进程，然后把后续的工作都交给傀儡进程然后退出。
蠕虫在创建的傀儡进程地址0x29a00000处写入0&22000字节的shellcode，然后把线程入口设置在shellcode处。后续的所有操作都在这个傀儡进程里的这段shellcode里内完成。
4）Shellcode运行后会对自身进行解密，解密完成后跳到真正的入口0x29a07e20处执行。接下来一个重要的操作是隐藏进程本身。
蠕虫通过LoadLibrary读取内核ntoskrnl.exe文件，然后得到PsInitialSystemProcess在内核的偏移。PsInitialSystemProcess是内核的一个全局变量，指向系统进程SYSTEM的EPROCESS结构。每一个进程在内核中都有一个对应的EPROCESS结构，EPROCESS+0&88处可以取得系统活动进程链表ActiveProcessLinks，EPROCESS+0&88处可得到进程PID。通过删除自己在该链表上的位置，可以达到隐藏进程的目的，除非使用专业内核检测工具，否则难以看到。
蠕虫通过ZwSystemDebugControl可直接在R3层对内核空间进行读写操作。传入要读或写的内核地址空间和buffer，即可使用。
通过遍历系统活动进程链表和PID找到自己的EPROCESS结构并从该链表中删除。
3.2 传播性（网络传播：加驱动，服务线程，漏洞线程；U盘传播）
为了自身传播，蠕虫运行后会创建4个相关线程，其中3个线程用于网络渗透传播，另一个为U盘感染线程。
三个网络传播相关线程：驱动加载线程，网络服务器线程，网络渗透感染线程。
驱动加载线程判断系统版本，并释放合适的驱动文件到system32\drivers\sysdrv32.sys并为其创建服务以加载驱动。
驱动加载初始化完成后会创建一内核线程，该内核线程通过ZwQuerySystemInformation获得tcpip.sys的基址，再利用特征码搜索定位到变量ActiveOpenProgressThreshold（TCP半开连接数），并把它的值从10增大到0xfc。该变量限制系统的TCP半连接数量。为了防止震荡波等蠕虫病毒的网络传播，加强系统安全，防止系统资源浪费，微软把TCP半连接数上限设置为10，即同一时刻TCP的半连接最多只能有10个。蠕虫增大了该值，使其更能发辉系统网络潜能传播蠕虫。
网络服务器线程在本地搭建一个服务器，为配合接下来的网络渗透感染线程工作。局域网内的机器被感染后会连接攻击者机器，该线程用作发送蠕虫文件到连接来的被感染机器中。
网络渗透感染线程取得机器所在网段，然后开始利用MS10-061后台打印程序服务漏洞对网络内其他主机进行攻击。该漏洞是一个远程执行代码漏洞，通过构造特殊的RPC请求可以完全控制目标机器。对于已打补丁或各种原因漏洞攻击失败的机器，蠕虫试图用一些弱口令字典去取得远程机器权限。
U盘感染线程不断监视系统是否存在U盘等移动设备，发现U盘后往其复制自己的副本命名为，并修改u盘autorun.inf文件使其在插入U盘后能自动运行。
3.3 留下后门，听命于黑客
该蠕虫最后的目的只是为了在机器上留下后门，并听命于黑客的控制。可窃取用户信息，并木马运行，为留下严重隐患。
蠕虫成功运行后会连接的服务器，通过查询该域名下的IP地址归属为葡萄牙。但在分析时无法连接上该服务器，蠕虫的后门功能已丧失。
通过分析，若连接上黑客服务后，会不断等待读取并解释黑客的指令，进行不同的操作，并返回各种信息。甚至会根据指令从远程服务器上下载木马并运行。电脑杀蠕虫病毒的操作方法 电脑中了蠕虫病毒怎么办
作者：佚名
字体：[ ] 来源：互联网 时间：05-31 10:55:38
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其 蠕虫病毒 他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫&野兔&，蠕虫病毒一般是通过1434端口漏洞传播。 　--------下面是蠕虫病毒的症状看看是不是蠕虫病毒------- 　　病毒类型：蠕虫病毒 　　攻击对象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等 　　传播途径：&冲击波&是一种利用Windows系统的RPC(远程过程调用，是一种通信协议，程序可使用该协议向网络中的另一台计算机上的程序请求服务)漏洞进行传播、随机发作、破坏力强的蠕虫病毒。它不需要通过电子邮件(或附件)来传播，更隐蔽，更不易察觉。它使用IP扫描技术来查找网络上操作系统为Windows 2000/XP/2003的计算机，一旦找到有漏洞的计算机，它就会利用DCOM(分布式对象模型，一种协议，能够使软件组件通过网络直接进行通信)RPC缓冲区漏洞植入病毒体以控制和攻击该系统。 如果真的是蠕虫病毒的话,可以按下面的方法操作:　　1.中止进程 　　按&Ctrl+Alt+Del&组合键，在&Windows 任务管理器&中选择&进程&选项卡，查找&msblast.exe&(或&teekids.exe&、&penis32.exe&)，选中它，然后，点击下方的&结束进程&按钮。 　　提示：如不能运行&Windows 任务管理器&，可以在&开始&运行&中输入&cmd&打开&命令提示符&窗口，输入以下命令&taskkill.exe /im msblast.exe&(或&taskkill.exe /im teekids.exe&、&taskkill.exe /im penis32.exe&)。 　　2.删除病毒体 　　依次点击&开始&搜索&，选择&所有文件和文件夹&选项，输入关键词&msblast.exe&，将查找目标定在操作系统所在分区。搜索完毕后，在&搜索结果&窗口将所找到的文件彻底删除。然后使用相同的方法，查找并删除&teekids.exe&和&penis32.exe&文件。 　　提示：在Windows XP系统中，应首先禁用&系统还原&功能，方法是：右击&我的电脑&，选择&属性&，在&系统属性&中选择&系统还原&选项卡，勾选&在所有驱动器上关闭系统还原&即可。 　　如不能运行&搜索&，可以在&开始&运行&中输入&cmd&打开&命令提示符& 窗口，输入以下命令： 　　&del 系统盘符winntsystem32msblast.exe&(Windows 2000系统)或&del系统盘符windowssystemmsblast.exe&(Windows XP系统) 　　3.修改注册表 　　点击&开始&运行&，输入&regedit&打开&注册表编辑器&，依次找到&HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun&，删除&windows auto update=msblast.exe&(病毒变种可能会有不同的显示内容)。 　　4.重新启动计算机 　　重启计算机后，&冲击波&(也就是蠕虫病毒)病毒就已经从系统中完全清除了。 　
大家感兴趣的内容
12345678910
最近更新的内容温馨提示：以上资料仅供参考，未经许可禁止转载，违者必究
蠕虫病医院推荐
联系电话：7
2条患者评价
联系电话：9
2条患者评价
联系电话：24小时男科专家热线：6
2条患者评价
联系电话：024-
0条患者评价
联系电话：0
2条患者评价
您可以在全国最大的医患咨询平台咨询健康问题，还可以分享您身边的健康知识和就医经验。
蠕虫病药品
蛔虫病、蛲虫病、鞭虫病、钩虫病、粪类园线虫病、绦虫病。
参考价格：￥6百度拇指医生
&&&普通咨询
您的网络环境存在异常，
请输入验证码
验证码输入错误，请重新输入 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
面向“信息安全基础”课程的 蠕虫查杀实战案例
下载积分：900
内容提示：面向“信息安全基础”课程的 蠕虫查杀实战案例
文档格式：PDF|
浏览次数：0|
上传日期： 22:16:34|
文档星级：
该用户还上传了这些文档
面向“信息安全基础”课程的 蠕虫查杀实战案例
官方公共微信}