蠕虫名称:Mydoom.B [F-Secure], W32.Mydoom.B@mm[Symantec],W32/Mydoom.b@MM [McAfee], WORM_MYDOOM.B [Trend], Win32.Mydoom.B [Computer Associates], I-Worm.Mydoom.b [Kaspersky], W32/MyDoom-B [Sophos]
蠕虫发现日期:2004年1月28日
蠕虫长度:29,184字节
影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
蠕虫概述:
-------------------
2004年1月28日,一个新的Mydoom蠕虫变种Mydoom.B开始传播。Mydoom.B对www.sco.com 和 www.microsoft.com两个网站进行DDOS攻击,并且阻止被感染机器访问一些著名反病毒厂商的网站。
蠕虫技术细节描述:
--------------------------
该蠕虫运行后首先寻找Mydoom.A,,找到后则终止Mydoom.A蠕虫体进程的运行并且删除"shimgapi.dll"文件。
1. 生成下列文件:
%sysdir%\explorer.exe
%sysdir%\ctfmon.dll
ctfmon.dll是该蠕虫的后门组件,蠕虫通过注册表中的
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]加载ctfmon.dll。
2. 在注册表中增加键值:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe
如果失败,则添加至:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = %SysDir%\ctfmon.dll
3. 通过对等文件分享软件进行传播
该变种把蠕虫体拷贝到Kazaa下载目录中,可能的文件名为:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
可能的扩展名为:
.bat
.exe
.scr
.pif
4. 蠕虫以自身的邮件引擎发送蠕虫体
(1)发送邮件地址的获得
该蠕虫从Windows的地址簿以及一些特定类型文件中收集邮件地址,并以自身的邮件引擎向它们发送蠕虫体,同时它也避免向一些有特定邮件帐户名的地址发送。
a. 从如下扩展名文件中搜寻邮件地址:
wab
pl
adb
dbx
asp
php
sht
htm
txt
b. 一旦选择了一个邮件地址来发送自身后,该蠕虫也将向该邮件地址同一域名的如下帐户发送自身:
john maria dan brent
alex jim dave alice
michael brian matt anna
james serg steve brenda
mike mary smith claudia
kevin ray stan debby
david tom bill helen
george peter bob jerry
sam robert jack jimmy
andrew bob fred julie
jose jane ted linda
leo joe adam sandra
c. 避免发送的邮件地址帐户名:
root nothing site not
info anyone contact submit
samples someone soft feste
support your no ca
postmaster you somebody gold-certs
webmaster me privacy the.bat
noone bugs service page
nobody rating help
(2)蠕虫发送的带毒电子邮件格式
a. 邮件主题:(下列之一)
Status
hi
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail
b. 邮件正文:(下列之一)
The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
sendmail daemon reported:
Error #804 oclearcase/" target="_blank" >ccured during SMTP session. Partial message has
been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary
attachment.
Mail transaction failed. Partial message is available.
c. 邮件附件文件名:(下列之一)
document
readme
doc
text
file
data
message
body
d. 邮件附件扩展名
邮件附件可能有一个或两个文件扩展名,如果它有两个扩展名,则第一个是:(下列之一)
.htm
.txt
.doc
第二个扩展名,或者如果只有一个扩展名,则是:(下列之一)
.pif
.scr
.exe
.cmd
.bat
e. 邮件附件所用图标使得它看起来是一个文本文件
5. 期限
该蠕虫将在2004年3月1日后停止运行,但是后门程序还将继续运行。
6. 后门
该蠕虫有能力发送自身到已经感染Mydoom.A的主机上。它首先对随机生成的IP地址列表进行扫描以便发现已被Mydoom.A感染的主机,之后尝试连接TCP 3127端口(Mydoom.A所留后门利用的端口),如果连接成功则传送自身并立即执行,从而不需要用户通过邮件接收新蠕虫体就可更新被感染蠕虫为新的版本。
此外,该蠕虫通过调用函数gethostbyname()获知被感染主机的主机名,解析其IP地址并扫描寻找同一网段内感染Mydoom.A蠕虫的其他主机。
该蠕虫与Mydoom.A一样也留有后门组件(ctfmon.dll),该组件在被感染的系统中打开端口1080以接受来自远程用户的访问。它也可能利用3128,80,8080,10080等端口。
7. DDOS攻击
该蠕虫分别于2004年2月3日和2004年2月1日对www.microsoft.com网站和 www.sco.com 网站进行DDOS攻击。
该蠕虫在DDOS攻击时如果无法成功解析www.sco.com,则等待65秒后重新尝试,如果无法成功解析www.microsoft.com,则等待16秒后重新尝试。
8. 阻止被感染主机访问反病毒网站
该蠕虫通过改写被感染主机的hosts file,强制被感染主机将一些著名反病毒公司及其他一些商业站点的网址解析成0.0.0.0的IP地址,从而使得该主机无法访问这些站点。改写后的hosts file文件内容如下:
0.0.0.0 engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com f-secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com updates.symantec.com
0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net
在攻击微软网站的时间到来之前还添加了0.0.0.0 www.microsoft.com,这使得感染主机无法访问微软站点。2月3日之后,该行被删除,从而保证DDOS攻击可以进行。如果DDOS攻击成功,会导致所有用户很难访问该网站。
改动hosts file主要的目的是使得用户不能通过下载更新最广泛使用的反病毒产品来清除该蠕虫。
手工清除该蠕虫的相关操作:
--------------------------
1. 删除下列注册表键值
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
2. 删除蠕虫释放的文件
%SysDir%\explorer.exe
%SysDir%\ctfmon.dll
3. 还原hosts file
删除hosts file中所有本蠕虫所添加的部分,它们旨在阻塞对反病毒厂商和其他商业网站的正常访问。