Worm.Dvldr 蠕虫原理与解决.docVIP

病毒信息 Worm.Dvldr 蠕虫原理与解决 蠕虫特征：----------------------------------------------------该蠕虫包含以下程序：文件名 可能出现的目录 长度 说明dvldr32.exe %windir%system32(NT/2K) 745,984 蠕虫的主要部分，执行扫描和感染功能%windir%system(9x)rundll32.exe %windir%fonts 29,336 蠕虫的感染报告部分，执行向IRC列表发送感染成功信息，由linux程序改编explorer.exe %windir%fonts 212,992 蠕虫的后门程序，是VNC的一部分omnithread_rt.dll %windir%fonts 57,344 蠕虫的后门程序，是VNC的一部分VNCHooks.dll %windir%fonts 32,768 蠕虫的后门程序，是VNC的一部分cygwin1.dll %windir%system32(NT/2K) 944,968 Linux程序到Windows移植进行支持的动态连接库，支持蠕虫中的rundll32.exe%windir%system(9x)INST.exe %windir%system32 684,562 以上几个程序的打包安装程序 C:Documents and SettingsAll UsersStart MenuProgramsStartup***C:WINDOWSStart MenuProgramsStartupinst.exe***C:WINNTAll UsersStart MenuProgramsStartupinst.exe***该蠕虫可能修改以下注册表：[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]TaskMan=C:\WINNT\Fonts\rundll32.exeExplorer=C:\WINNT\Fonts\explorer.exemessnger=C:\WINNT\system32\Dvldr32.exe[HKEY_CURRENT_USERSoftwareORL][HKEY_CURRENT_USERSoftwareORLWinVNC3]SocketConnect=dwordAutoPortSelect=dwordInputsEnabled=dwordLocalInputsDisabled=dwordIdleTimeout=dwordQuerySetting=dwordQueryTimeout=dword:0000000aPassword=hex:XXXXXXXPollUnderCursor=dwordPollForeground=dwordPollFullScreen=dwordOnlyPollConsole=dwordOnlyPollOnEvent=dword[HKEY_CURRENT_USERSoftwareORLVNCHooks][HKEY_CURRENT_USERSoftwareORLVNCHooksApplication_Prefs][HKEY_CURRENT_USERSoftwareORLVNCHooksApplication_PrefsEXPLORER.EXE]感染特征：----------------------------------------------------1、已感染机器对大量目标地址发送端口为TCP 445的包2、系统被安装了ATT VNC远程管理程序，开放了5800和5900端口3、向外部某些IRC服务器（6667端口）发送信息解决办法:----------------------------------------------------1、修改管理员密码2、用进程工具（pskill等)杀掉蠕虫进程dvldr32.exe、rundll32.exe、explorer.exe3、删除上面所说的文件4、在网络设备上关闭445端口，防止内部网络被感染附录1：蠕虫自带的攻击字典----------------------------------------------------adminAdminpasswordPassword1121231234123