最新发现:
关于MSDTC蠕虫事件的通报
CCERT,郑辉
zhenghui@ccert.edu.cn
一、 概述
2005年12月9日22时,CCERT发现利用微软MS05-051漏洞进行传播的蠕虫,蠕虫随机生成B类地址进行扫描,扫描攻击端口为1025/TCP,攻击成功后植入后门程序,记录用户击键信息,同时远程控制被感染计算机。通过追踪观察到,蠕虫释放者在蠕虫感染达到一定数量后,删除了原始下载位置的蠕虫样本,从而控制蠕虫扩散的规模。
CCERT的观测结果与DShield的监测结果一致(参见图一,http://www.dshield.org/)
二、 蠕虫分析
1、 1、 蠕虫工作流程:
a) a) 计算机被攻击后,将从61.138.10.55下载3个程序:x.exe,y.exe,z.exe并执行;
b) b) x.exe运行后,将在%system%目录下生成可执行文件remote.exe,同时修改注册表,以便开机后此文件可被执行;remote.exe为一IRC bot程序,连入killed.3322.org的#Phantom频道;
c) c) y.exe运行后,将在Program Files目录下生成CUZZSDFY系列文件;为键盘记录程序;
d) d) z.exe运行后,释放sqltob.exe,sqlscan.exe,sqlrep.exe和sqlexp.exe四个程序;其中sqlbot.exe生成随机B类地址并写入sqlscan.bat,然后sqlscan.bat启动sqlscan.exe 扫描指定B类地址的1025端口;存在此端口的IP信息由sqlrep.exe过滤处理后, sqlexp.exe对其进行缓冲区溢出攻击,攻击成功后,被感染计算机重复a;
e) e) sqlbot.exe也会修改注册表,使其可在开机后运行;
2、 2、 相关信息:
a) a) 蠕虫原始版本传播下载地址:61.138.10.55
inetnum: 61.138.0.0 - 61.138.63.255
netname: CNCGROUP-HL
country: CN
descr: CNCGROUP Heilongjiang province network
