● Novarg/Mydoom蠕虫及其变种分析报告 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: hellsolaris (qq), 信区: Security
标  题: Novarg/Mydoom蠕虫及其变种分析报告
发信站: 荔园晨风BBS站 (Fri Feb  6 13:21:23 2004), 站内信件

Novarg/Mydoom蠕虫及其变种分析报告

发布日期：2004-02-05

受影响的软件及系统：
====================
Microsoft Windows Server 2003
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows NT 4.0
Microsoft Windows ME
Microsoft Windows 98
Microsoft Windows 95

综述：
======
Novarg/Mydoom蠕虫是2004.1.28开始传入我国的一个通过邮件传播的蠕虫。该蠕虫
利用欺骗性的邮件主题和内容来诱使用户运行邮件中的附件。除了传播自身之外，
蠕虫还会对某些网站进行拒绝服务攻击。在传播和攻击过程中，会占用大量系统资
源，导致系统运行变慢。蠕虫还会在系统上留下后门，通过该后门，入侵者可以完
全控制被感染的主机。该蠕虫目前有两个变种：Mydoom.a和Mydoom.b。由于蠕虫的
传播速度极快，所以目前已经在我国大范围流行。

如何判断自己受到感染:
=====================

如果您在最近一段时间，运行过类似上面描述的可疑邮件中的附件，并且觉得系统
运行变慢，特别是打开网页、收取邮件等操作速度明显减慢，就需要检查一下，是
否是被该蠕虫感染。

首先点击“开始”-->“运行”，如果您的操作系统是Windows ME、Windows 98或
者Windows 95，在里面输入“command”，如果您的操作系统是Windows 2003、
Windows XP、Windows 2000、Windows NT，在里面输入“cmd”。这样就会出现一
个命令提示符。

然后，我们在命令提示符中输入：

------------------------------------------------------------------------
---
dir /a /s %systemroot%\Ctfmon.dll
dir /a /s %systemroot%\shimgapi.dll
------------------------------------------------------------------------
---

如果系统没有被该蠕虫感染，那么两条命令的返回结果都应该是类似下面这样：

------------------------------------------------------------------------
---
驱动器 C 中的卷是 System
卷的序列号是 1234-5678
找不到文件
------------------------------------------------------------------------
---

如果看到了类似下面的结果，则说明可能被蠕虫感染了：

------------------------------------------------------------------------
---
驱动器 C 中的卷是 System
卷的序列号是 1234-5678

C:\WINNT\system32 的目录

2004-01-30  20:12               6,144 Ctfmon.dll
               1 个文件         6,144 字节

     列出所有文件:
               1 个文件         6,144 字节
               0 个目录   640,774,144 可用字节
------------------------------------------------------------------------
---

分析：
======
该蠕虫没有使用特别的技术和系统漏洞，之所以能造成如此大的危害，主要还是由
于人们防范意识的薄弱，和蠕虫本身传播速度较快的缘故。

蠕虫作者可能手工抹去了程序中和编译器、开发环境相关的一些信息，。不过仔细
分析，还是可以知道，程序是使用Visual Studio .NET开发的。

蠕虫在系统中寻找所有可能包含邮件地址的文件，包括地址簿文件、各种网页文件
、各种动态网页文件等等。从中提取邮件地址，作为发送的目标。

蠕虫邮件的主题是下列之一：
Status
hi
test
hello
Error
Delivery Error
Returned mail
Server Report
Mail Transaction Failed
Mail Delivery System

包含的附件文件名是下列之一：
document
readme
doc
text
file
data
test
message
body

附件的扩展名是下列之一：
pif
scr
exe
cmd
bat
zip

目前又有很多准变种出现，所以上述附件名等特征也不是绝对的。

蠕虫本身用upx进行了压缩，并且对一些字符串资源作了rot13编码，可能是不愿意
被脚本小子轻易修改后作为变种流传出去。蠕虫运行后会在系统中释放出一个dll
，对于Mydoom.a，是Shimgapi.dll；Mydoom.b，释放出的文件名是Ctfmon.dll。并
且在注册表的这个位置：
\\HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcS
erver32
添加相应键值，这样，登陆系统后，这个dll就会在资源管理器的进程空间中运行
。该dll的功能是打开一个代理服务器，监听3127端口，如果该端口被占用，则递
增，但不大于3198。

我们对Shimgapi.dll进行分析后发现，该后门有两个功能：
1、作为端口转发代理。
2、接收程序上传并执行。

当后门监听的端口收到连接之后，后门会对收到的第一个字符进行判断，如果第一
个字符是0x04，则转入端口转发流程：

判断第一个字节是否0x04--> 判断第二个字节是否是0x01 --> 取第5~8四个字节作
为目标IP地址 --> 取3、4两个字节作为目标端口 --> 进行连接并和当前socket作
数据转发

类似的，如果第一个字符是0x85，则转入接收文件并执行的流程。也就是说只要构
造符合一定格式的数据，发送给后门，就可以在机器上运行任意程序或者连接其他
主机。对主机的安全威胁是很大的。

蠕虫会把自身拷贝到系统目录下。对于Mydoom.a，文件名是taskmon.exe；
Mydoom.b是explorer.exe。并且在注册表的以下两个位置：
\\HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
\\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加相应键值，使其能够随在用户登陆系统后自动运行。

蠕虫会把自身复制到点对点共享软件KaZaa的共享目录下，并且取一些较有诱惑力
的文件名。

Mydoom.b还会修改系统的hosts文件，将一些杀毒软件升级网站、微软下载站点、
广告网站进行错误的解析。由于默认情况下，系统在进行域名解析时会优先使用
hosts文件中的设定，所以这样的结果就是导致那些网站不能访问。

另外，Mydoom.a在2004年2月1到2004年2月12日之间，会对www.sco.com进行拒绝服
务攻击，Mydoom.b中还添加了对微软网站的拒绝服务。拒绝服务的方式是向网站的
WEB服务发送大量GET请求。

解决方法：
==========
由于该蠕虫修改了注册表和一些系统文件，所以，对于普通用户，我们建议借助于
杀毒软件来清除该蠕虫。另外，目前各大杀毒软件厂商基本上都提供了针对该蠕虫
的专杀工具，可以到这些厂商的主站上下载使用。

如果您对Windows系统有一定的了解，有兴趣手工清除该蠕虫，可以参考技术分析
部分的详细描述进行相应操作。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.225]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店