一早上起來，公司里慘不忍睹！(緊急提請，請大家注意！) (50分)

哈！又是台湾人！

Suspect Trojan found active in Disk.
!Only a registered Iparmor can auto-disable and rename suspect process.
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@counter10.sextracker[1].txt
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@counter12.sextracker[2].txt
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@counter2.sextracker[1].txt
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@counter3.sextracker[2].txt
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@counter4.sextracker[1].txt
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@counter6.sextracker[1].txt
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@counter7.sextracker[2].txt
Doubleclick Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@doubleclick[2].txt
Sextracker Spyware Cookie found in c:/documents and settings/xiong/cookies/xiong@sextracker[3].txt
Scanning is over.
何故？

現在還發現問題，一些被感染了的備份數據也發現在病毒，一些存儲過程不得新編譯居然無法使用!

　
　 影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考 : CAN-2003-0109, CAN-2003-0352
别名：
趋势科技 MSBlast.D
F-Secure LovSAN.D
NAI W32/Nachi.Worm
Symantec W32.Welchia.Worm
简单描述：
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞
(漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=48
和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞
（漏洞信息参见http://www.ccert.edu.cn/advisories/all.php?ROWID=28）
进行传播。
如果该蠕虫发现被感染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统
打
上补
丁程序，但由于程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新
启
动。
ICMP蠕虫感染机器后，会产生大量长度为92字节的ICMP报文，从而导致整个网络不可用
。

(ICMP流量增长趋势参见附图)。
这些报文的特征如下：
xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
4500 005c 1a8d 0000 7801 85be xxxx xxxx
xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa aaaa。
蠕虫的详细信息：
在被感染的机器上蠕虫会做以下操作：
1、蠕虫首先将自身拷贝到%System%/Wins/Dllhost.exe
（%system%根据系统不同而不同，win2000为c:/winnt/system32,winxp为c:/windows/sy
s
tem32)
2、拷贝%System%/Dllcache/Tftpd.exe到%System%/Wins/svchost.exe
3、创建RpcTftpd服务，该服务取名Network Connections Sharing，并拷贝
Distributed Transaction Coordinator服务的描述信息给自身。
服务的中文描述信息为：并列事务，是分布于两个以上的数据库，消息队列，文件系
统
，或
其它事务保护资源管理器

创建RpcPatch服务，该服务取名WINS Client，并拷贝Computer Browser服务的描述
信
息给自身。
服务的中文描述信息为：维护网络上计算机的最新列 表以及提供这个列表给请求
的
程序。
4、判断内存中是否有msblaster蠕虫的进程，如果有就杀掉，判断system32目录下有没
有
msblast.exe
文件，如果有就删除。
5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段，检测这些地址段中存
活
的主机。
6、一旦发现存活的主机，便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出
攻
击。
溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从我们监测
情
况
看，通常都是707端口。
7、建立连接后发送“dir dllcache/tftpd.exe”和“dir wins/dllhost.exe”命令，根
据

返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，就将
t
fptd拷
贝到%system%/wins/svhost.exe，如果没有，就利用自己建立的tftp服务将文件传过后
再
拷贝。
8、检测自身的操作系统版本号及server pack的版本号，然后到微软站点下载相应的ms0
3
-26补丁
并安装。如果补丁安装完成就重新启动系统。
9、监测当前的系统日期，如果是2004年，就将自身清除。
感染特征：
1、被感染机器中存在如下文件：
%SYSTEMROOT%/SYSTEM32/WINS/DLLHOST.EXE
%SYSTEMROOT%/SYSTEM32/WINS/SVCHOST.EXE
2、注册表中增加如下子项：
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
RpcTftpd
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
RpcPatch
3、增加两项伪装系统服务：
Network Connection Sharing
WINS Client
4、监听TFTP端口(69)，以及一个随机端口（常见为707）；
5、发送大量载荷为“aa”，填充长度92字节的icmp报文，大量icmp报文导致网络不可用
。

6、大量对135端口的扫描；
网络控制方法：
如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞下
面
的协议端口:
UDP Port 69, 用于文件下载
TCP Port 135, 微软：DCOM RPC
ICMP echo request(type 8) 用于发现活动主机
使用IDS检测，规则如下：
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect ";
content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:
http://www.ccert.edu.cn sid:483; classtype:misc-activity; rev:2
被感染计算机手动删除办法：
1、停止如下两项服务（开始->程序->管理工具->服务）：
WINS Client
Network Connections Sharing
2、检查、并删除文件:
%SYSTEMROOT%/SYSTEM32/WINS/DLLHOST.EXE
%SYSTEMROOT%/SYSTEM32/WINS/SVCHOST.EXE
3. 进入注册表（“开始->运行：regedit），删除如下键值：
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
RpcTftpd
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
RpcPatch
4. 给系统打补丁（否则很快被再次感染）

多人接受答案了。