Worm.Win32.MS08-067.c病毒分析及处理.ppt

Worm.Win32.MS08-067.c 病毒分析与处理 病毒名称： Worm.Win32.MS08-067.c 中毒后最典型迹象：杀毒软件无法正常升级，瑞星、微软等网站不能访问，显示隐藏文件选项不能修改。 主要特点和危害：传播速度快，传播途径多，不容易彻底清除。 传播方式及感染途径： Worm.Win32.MS08-067.c是以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。病毒自身带一个弱密码表，枚举网络中计算机的用户名和密码，利用 IPC$ ADMIN$ 共享复制病毒到远程计算机然后通过Rundll32远程启动，枚举驱动器创建自身到 RECYCLER、System32文件夹下从而完成在计算机中的传播。 另外该病毒还可通过U盘等移动存储设备以自动加载自运行的方式进行传播。 传播方式及感染途径： 病毒行为分析： 首先病毒会判断系统版本是否是 Win2K/ XP 以上系统，如果是病毒才继续执行。并且为病毒进程添加 SeDebugPrivilege 权限，对本机的计算机名称进行 CRC32 计算，通过得到的 CRC32 值创建病毒互斥量，判断自己是否是 rundll32.exe 程序启动的。如果不是就判断是否能找到svchost.exe -k netsvcs 或者explorer.exe 进程，将自己代码加载到那两个进程中的某一个上，然后修改注册表不显示隐藏文件，从而使病毒可以被系统加载。 对services.exe、“svchost.exe -k netsvcs”、“svchost.exe -k NetworkService”进程进行DNS查询以及TCP传输过程拦截，针对杀毒软件关键字进行过滤，其中包含 rising、avast、nod32、mcafee 等等，使当前中毒计算机无法访问安全厂商的网站，从而阻止杀软升级。停止wscsvc、wuauserv、BITS、WinDefend、Windows Defender、ERSvc、WerSvc服务，并且改为手动，从而阻止系统更新以及系统安全检查程序。 逃避杀软查杀的手段（一）： 尝试访问 等网站得到中毒计算机的IP，通过访问、等等网站得到当前月数，再经过内置算法计算病毒的升级链接，方便病毒作者更新，从而逃避杀软的查杀。??  逃避杀软查杀的手段（二）： 该病毒处理及防范要点： （一）针对该病毒的传播特点进行防范，首先就是一定要及时更新微软的操作系统补丁，及时修补系统漏洞； （二）发现上述病毒行为分析中所提到的关键系统服务被非人为修改为手动时，及时将涉及的服务修改成原系统状态，并配合杀毒软件进行全盘杀毒操作； （三）在局域网中使用的计算机应不使用弱密码或者空密码； （四） 使用具有U盘监控功能或U盘病毒免疫功能的安全软件（如 瑞星卡卡上网安全助手）。 该病毒处理及防范要点： THE END * * * * * * * * * *