教育科研网的安全公告,主要从最终用户的角度考虑,如何检测、删除Dlvdr蠕虫。
只有让最终用户删除了这些蠕虫并采取了安全措施,只有路由器上的这些过滤规则都去掉以后,网络仍然正常,才算彻底解决问题。
因此,建议各接入部门尤其是各教学单位的机房,对网络内部的安全问题进行全面检查。网络中心也将积极配合各部门的杀毒、防黑工作,派专人进行指导。
下面是转发内容:
CCERT 关于 Dvldr32 蠕虫防范的公告
中国教育和科研计算机网紧急响应组(CCERT)
2002年3月9日
2003年3月7日以来,一种破坏力很强的蠕虫(暂且以攻击程序的名字命名为Dvldr32 蠕虫)在网络上大面积传播,控制了大量口令设置不安全的Windows系统,对网络造成了很大破坏。 目前主要的网络运行商已经在网络上对其传播途径进行了控制,但是,被感染的系统、可能被感染的系统仍然大量存在,有必要引起进一步的关注。
1. 易受感染的系统
Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.
2.蠕虫利用系统漏洞
弱口令,比较典型的是管理员(administrator)口令为空
3.主要危害
计算机感染Dvldr32蠕虫后,定期的随机选择两个C类地址进行扫描(TCP 445端口),如果目标机器上存在弱口令账号(如:administrator账号密码为空),蠕虫便会利用该账号将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门(TCP 5800,TCP 5900),并通过互联网聊天协议(IRC,TCP 目标端口6667)与境外的服务器进行通信。
该蠕虫的扫描和传播可能造成网络严重拥塞,主要表现为大量 TCP 445端口的扫描、TCP 6667端口的通信。另外,网络流量监测结果表明IP协议字段为 255( IP 头标的第9个字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。
4. 蠕虫的检测方法(面向计算机用户)
如果出现以下特征之一,可以认为系统已经被感染:
(1) 如果你的管理员口令为空或者容易猜测的口令,那么你的计算机系统可能已经被感染了,或者很容易受到感染;
(2) 登录计算机系统,执行netstat -an命令,如果出现大量对外6667端口的TCP连接,或者正在监听TCP 5800和5900端口,那么你的系统可能被感染了,如下所示:
C:\>netstat.exe -n
Active Connections
Proto Local Address Foreign Address State
TCP x.x.x.x:1043 149.156.91.2:6667 CLOSE_WAIT
TCP x.x.x.x:1045 198.65.147.245:6667 CLOSE_WAIT
......
TCP x.x.x.x:4811 198.65.147.245:6667 CLOSE_WAIT
TCP x.x.x.x:4887 149.156.91.2:6667 CLOSE_WAIT
(3) 如果系统目录下出现了一下文件,那么你的系统可能被感染了:
C:\> dir /O:D winnt\system32
C:\winnt\system32 的目录
...
2003-03-07 02:23 745,984 Dvldr32.exe
2003-03-08 19:53 61,440 PSEXESVC.EXE
2003-03-08 22:38 684,562 inst.exe
2003-03-08 22:38 36,352 psexec.exe
2003-03-09 00:21
.
2003-03-09 00:21 ..
C:\>dir winnt\fonts /O:D
......
2000-01-10 12:00 118,752 webdings.ttf
2002-11-06 15:45 32,768 VNCHooks.dll
2002-11-06 15:45 57,344 omnithread_rt.dll
2002-11-06 17:07 212,992 explorer.exe
2002-11-06 17:58 29,336 ~GLH0003.TMP
2002-11-06 17:58 29,336 rundll32.exe
(4) 检查注册表, 如果增加了如下键值,则你的系统已经被感染了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
"messnger"="C:\\WINNT\\system32\\Dvldr32.exe"
5. 蠕虫的删除方法(计算机用户)
(1) 为 administrator 设定安全的口令,检查其他所有普通用户口令的安全性;
(2) 终止名为dvldr32.exe 和rundll32.exe 的进程;
(3) 删除 以下文件(%windir%是windows nt/2000的根目录,比如c:\winnt):
%windir%\system32\dvldr32.exe
%windir%\fonts\explorer.exe
%windir%\fonts\omnithread_rt.dll
%windir%\fonts\VNCHooks.dll
%windir%\fonts\rundll32.exe
%windir%\system32\cygwin1.dll
%windir%\system32\ INST.exe
(4) 清理注册表,删除3(4)中所提到的注册表中的键值
(5) 重新启动计算机
6. 蠕虫的网络检测(网络管理员)
如果你管理的网络出现了以下现象,那么网络中可能有计算机系统受感染了
(1) 网络性能显著下降;
(2) 用流量分析工具(比如Unix平台的tcpdump 、Windows 平台的Sniffer pro),可以看到从网络内部发起的大量目标端口为445、6667的TCP 数据包;
(3) 用端口扫描软件(比如Linux 平台的nmap),扫描你所管理的网络,如果有的计算机同时打开了TCP 445 、5800、5900端口,则该计算机系统可能被感染了。
7. 蠕虫的控制手段(网络管理员)
在边界路由器或防火墙上配置访问控制规则,可以控制蠕虫传播的途径,起到保护内部网络、控制被感染系统扩散的目的。
例如,可以在cisco 路由器上的配置如下访问控制表:
access-list 110 deny tcp any any eq 445
! 用于控制蠕虫的扫描和感染;
access-list 110 deny tcp any any eq 5800
access-list 110 deny tcp any any eq 5900
! 用于防止受感染的系统被远程控制
access-list 110 deny tcp any any eq 6667
! 用于控制 受感染的系统与聊天服务器的通信
access-list 110 deny udp any any eq 1434
! 用于控制 Slammer worm
access-list 110 deny 255 any any
access-list 110 deny 0 any any
! 用于控制 IP Protocol 为255 和0 的流量
access-list 110 permit ip any any
8.蠕虫传播机理分析