SCO炸彈(Worm.Novarg)病毒分析報告

 

病毒名稱：SCO炸彈(Worm.Novarg)

警惕程度：★★★★

發作時間：隨機

病毒類型：蠕蟲病毒

傳播途徑：郵件

依賴系統: WINDOWS 9X/NT/2000/XP

 

病毒介紹：

1月27日，瑞星全球反病毒監測網率先截獲一個傳播力極強的蠕蟲病毒，并命名為“SCO炸彈”(Worm.Novarg)病毒.該病毒通過電子郵件傳播，感染用戶電腦之后潛伏下來，等到系統日期為2004年2月1日時發作，利用受感染電腦對SCO網站進行拒絕服務式攻擊。

據瑞星反病毒工程師分析，此病毒最先在歐美爆發，主要目的是利用大量受感染電腦攻擊SCO公司的官方網站，很可能是LINUX愛好者編寫。

該病毒利用電子郵件傳播，偽裝成電子郵件系統的退信，郵件標題可能為“Error”、“Mail Transaction Failed”、“Server ReportMail Delivery System”，附件后綴為“bat、cmd、exe、pif、scr、zip”，該附件即為病毒體。瑞星反病毒工程師提醒用戶，如果收到類似可疑郵件，請不要打開附件。

 

病毒的特性、發現與清除：

1.     該病毒是蠕蟲型病毒，采用upx壓縮。

2.     病毒運行時會釋放后門程序為：%System%\ shimgapi.dll，該后門為一個代理服務器，端口為3127至3198，該模塊還能根據傳來的命令接受一個文件到本地系統并執行。可將該病毒文件直接刪除。

注意：%system%是一個變量，它指的是操作系統安裝目錄中的系統目錄，默認是：“C:\Windows\system”或：“c:\Winnt\system32”。

3.     病毒運行時會在%Temp%目錄中生成一個和記事本一樣圖標的隨機病毒文件，并自動調用記事本程序來打開它，從而顯示一些偽裝信息。

注意：%Temp%是一個變量，它指的是操作系統安裝目錄中的臨時目錄，默認是：“C:\Windows\temp”或：“c:\Winnt\temp”。

4.     病毒運行時會將自身復制為：%System%\taskmon.exe，目的是冒充系統的任務管理器，廣大計算機用戶要注意分辨。可將該病毒文件直接刪除。

5.     病毒運行時如果發現有任務管理器程序(taskmon.exe)正在運行，則會立刻將該程序關閉，目的是防止用戶查看內存中的病毒進程。

6.     病毒運行時會修改注冊表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32，在其中建立病毒鍵值："(Default)" = "%System%\ shimgapi.dll "，目的是替換系統中的默認瀏覽器程序，使用戶一打開瀏覽器，就能自動執行病毒。可以用注冊表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

7.     病毒會修改注冊表的自啟動項：

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，

在其中加入病毒鍵值：" TaskMon "，目的是開機時可以自動運行病毒。可以用注冊表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

8.     病毒將在一個時段范圍內(2004.2.1至2004.2.12向www.sco.com網站發動Dos攻擊）攻擊線程達64個，如果攻擊成功，將會導致這兩個網站癱瘓，無法向用戶提供服務。

9.       病毒運行時將會在以下類型： .htm ，.sht ，.php ，.asp ，.dbx ，.tbb ，.adb

.pl ，.wab ，.txt的文件中搜索email地址（病毒將避開.edu結尾的email地址），并向這些地址發送病毒郵件。

10.  病毒郵件的附件是病毒體，采用雙后綴形式來迷惑用戶，常用的后綴為：.htm、.txt、.doc

11.  病毒郵件為以下內容：

    病毒郵件的標題為以下其中之一：

    test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status

    Error

    郵件內容為病毒用隨機的數據進行編碼。

    當編碼失敗時病毒用：

The message cannot be represented in 7 -bit  ASCII    encoding and has been sent as a binary attachment.

    test

    The message contains Unicode characters and has been sent as  a binary attachment.

    Mail transaction failed. Partial message is available.

    或空內容作為郵件正文。

 

    郵件的附件名為以下其中之一：

    document,readme,doc,text,file,data,test,message,body

 

    擴展名為以下其中之一：

    .pif,.scr,.exe,.cmd,.bat,.zip

 

12.  該病毒能通過一些P2P共享軟件進行傳播，病毒運行時會通過注冊表Software\Kazaa\Transfer查詢P2P軟件的共享目錄并將自己以隨機選擇體內的文件名將自己復制到該目錄。

    文件名為：  

winamp5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP，   office_crack,nuke2004。

    擴展名為：

  .pif,.scr,.bat,.exe

 

瑞星反病毒專家的安全建議：

1.     建立良好的安全習慣。例如：對一些來歷不明的郵件及附件不要打開，不要上一些不太了解的網站、不要執行從 Internet 下載后未經殺毒處理的軟件等，這些必要的習慣會使您的計算機更安全。

2.     關閉或刪除系統中不需要的服務。默認情況下，許多操作系統會安裝一些輔助服務，如 FTP 客戶端、Telnet 和 Web 服務器。這些服務為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除它們，就能大大減少被攻擊的可能性。

3.     經常升級安全補丁。據統計，有80%的網絡病毒是通過系統安全漏洞進行傳播的，象紅色代碼、尼姆達等病毒，所以我們應該定期到微軟網站去下載最新的安全補丁，以防范未然。

4.     使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統的，因此使用復雜的密碼，將會大大提高計算機的安全系數。

5.     迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網，以防止計算機受到更多的感染，或者成為傳播源，再次感染其它計算機。

6.     了解一些病毒知識。這樣就可以及時發現新病毒并采取相應措施，在關鍵時刻使自己的計算機免受病毒破壞：如果能了解一些注冊表知識，就可以定期看一看注冊表的自啟動項是否有可疑鍵值；如果了解一些內存知識，就可以經常看看內存中是否有可疑程序。

7.     最好是安裝專業的防毒軟件進行全面監控。在病毒日益增多的今天，使用毒軟件進行防毒，是越來越經濟的選擇，不過用戶在安裝了反病毒軟件之后，應該經常進行升級、將一些主要監控經常打開（如郵件監控）、遇到問題要上報，這樣才能真正保障計算機的安全。

SCO炸彈變種B(Worm.Novarg.B)病毒檔案

病毒名稱：SCO炸彈變種B(Worm.Novarg.B)

警惕程度：★★★★

發作時間：隨機

病毒類型：蠕蟲病毒

傳播途徑：郵件

依賴系統: WINDOWS 9X/NT/2000/XP

 

病毒介紹：

1月29日，瑞星全球反病毒監測網率先截獲“SCO炸彈”病毒的一個新變種，并命名為“SCO炸彈變種B”(Worm.Novarg.b)病毒。據瑞星反病毒工程師介紹，與“SCO炸彈”不同，該病毒已經把攻擊的矛頭直接指向微軟，將對微軟網站發動拒絕服務式攻擊。瑞星技術服務部門27日通過國內病毒監測網監測到1000多封攜帶該病毒的用戶郵件，而1月29日已經上升至4000多封，并有急劇增長的趨勢。

據瑞星反病毒工程師分析，該病毒變種的技術特性與“SCO炸彈相似”，利用病毒郵件的大量傳播感染用戶電腦，把感染的電腦當作代理服務器針對特定網址發送拒絕服務式攻擊，這種攻擊方式目前沒有有效的預防措施。和“SCO炸彈”一樣，該病毒變種不會感染以EDU結尾的郵件地址，盡管病毒編寫者的主要目的是為了攻擊微軟和SCO公司，但由于帶毒郵件的大量傳播會消耗網絡資源，并對系統設置后門，對普通用戶的正常使用造成很大安全風險。

 

病毒的特性、發現與清除：

1.     該病毒是蠕蟲型病毒，采用upx壓縮，病毒體大小為29,184字節。

2.     病毒運行時會釋放后門程序為：%System%\Ctfmon.dll，該后門程序使用以下TCP端口： 80、 1080、 3128、8080、10080，該后門可以下載或執行任何有害代碼。可將該病毒文件直接刪除。

注意：%system%是一個變量，它指的是操作系統安裝目錄中的系統目錄，默認是：“C:\Windows\system”或：“c:\Winnt\system32”。

3.     病毒運行時會在%Temp%目錄中生成一個和記事本一樣圖標的隨機病毒文件，并自動調用記事本程序來打開它，從而顯示一些偽裝信息。

注意：%Temp%是一個變量，它指的是操作系統安裝目錄中的臨時目錄，默認是：“C:\Windows\temp”或：“c:\Winnt\temp”。

4.     病毒運行時會將自身復制為：%System%\Explorer.exe，目的是冒充系統的資源管理器，但系統的資源管理器是在%Windir%目錄，而不是在%System%目錄，廣大計算機用戶要注意分辨。可將該病毒文件直接刪除。

注意：：%Windir%是一個變量，它指的是操作系統安裝目錄，默認是：“C:\Windows”或：“c:\Winnt”,也可以是用戶在安裝操作系統時指定的其它目錄。 

5.     病毒運行時如果發現有任務管理器程序(taskmon.exe)正在運行，則會立刻將該程序關閉，目的是防止用戶查看內存中的病毒進程。

6.     病毒運行時會修改注冊表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32，在其中建立病毒鍵值："(Default)" = "%System%\ctfmon.dll"，目的是替換系統中的默認瀏覽器程序，使用戶一打開瀏覽器，就能自動執行病毒。可以用注冊表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

7.     病毒會修改注冊表的自啟動項：

    HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在其中加入病毒鍵值："Explorer" = "%System%\Explorer.exe"，目的是開機時可以自動運行病毒。可以用注冊表編輯工具（regedit.exe）將該病毒鍵值直接刪除。

8.     病毒會修改系統的HOST文件，使用戶無法正常登陸下列網站：

    •    ad.doubleclick.net

• ad.fastclick.net

• ads.fastclick.net

• ar.atwola.com

• atdmt.com

• avp.ch

• avp.com

• avp.ru

• awaps.net

• banner.fastclick.net

• banners.fastclick.net

• ca.com

• click.atdmt.com

• clicks.atdmt.com

• dispatch.mcafee.com

• download.mcafee.com

• download.microsoft.com

• downloads.microsoft.com

• engine.awaps.net

• fastclick.net

• f-secure.com

• ftp.f-secure.com

• ftp.sophos.com

• go.microsoft.com

• liveupdate.symantec.com

• mast.mcafee.com

• mcafee.com

• media.fastclick.net

• msdn.microsoft.com

• my-etrust.com

• nai.com

• networkassociates.com

• office.microsoft.com

• phx.corporate-ir.net

• secure.nai.com

• securityresponse.symantec.com

• service1.symantec.com

• sophos.com

• spd.atdmt.com

• support.microsoft.com

• symantec.com

• update.symantec.com

• updates.symantec.com

• us.mcafee.com

• vil.nai.com

• viruslist.ru

• windowsupdate.microsoft.com

• www.avp.ch

• www.avp.com

• www.avp.ru

• www.awaps.net

• www.ca.com

• www.fastclick.net

• www.f-secure.com

• www.kaspersky.ru

• www.mcafee.com

• www.microsoft.com

• www.my-etrust.com

• www.nai.com

• www.networkassociates.com

• www.sophos.com

• www.symantec.com

• www.trendmicro.com

• www.viruslist.ru

• www3.ca.com

9.     病毒會在指定日期內，對www.microsoft.com和www.sco.com兩個網站進行DoS攻擊，如果攻擊成功，將會導致這兩個網站癱瘓，無法向用戶提供服務。

10.  病毒運行時會搜索以下類型：.htm、.sht 、.php 、 .asp 、.dbx 、.tbb 、.adb 、.pl 、.wab 、.txt的文件，在其中尋找有效的郵件地址，然后向這些地址發送病毒郵件。

11.  病毒郵件的附件是病毒體，采用雙后綴形式來迷惑用戶，常用的后綴為：.htm、.txt、.doc

12.  病毒郵件為以下內容：

    病毒郵件的標題可能為:

    Returned mail

    Delivery Error

    Status

    Server Report

    Mail Transaction Failed

    Mail Delivery System

    hello

    hi

 

    病毒郵件的正文可能為：

    sendmail daemon reported:

    Error #804 occured during SMTP session. Partial message has been received.

    Mail transaction failed. Partial message is available.

    The message contains Unicode characters and has been sent as a binary attachment.

    The message contains MIME-encoded graphics and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

13.  該病毒能通過一些P2P共享軟件進行傳播，病毒運行時會將自身拷貝到Kazaa軟件的下載目錄下，共命名為：

•   icq2004-final

•   Xsharez_scanner

•   BlackIce_Firewall_Enterpriseactivation_crack

•   ZapSetup_40_148

•   MS04-01_hotfix

•   Winamp5

•   AttackXP-1.26

•   NessusScan_pro

誘惑該軟件的其它用戶點擊，從而達到傳播的目的。

 

專殺工具：

瑞星專殺工具：http://download.rising.com.cn/zsgj/RavNovarg.exe
金山專殺工具：http://download01.duba.net/download/othertools//Duba_Novarg.EXE

諾頓專殺工具：http://down.tech.sina.com.cn/cgi-bin/download.cgi?s_id=10374&href=0