CCERT 关于 防范MyDoom病毒的安全公告(MyDoom.A,MyDoom.B)

 
 
  
                                        
 
病毒名称:MyDoom
病毒别名:Shimgapi,Novarg, W32/Mydoom, 诺维格, SCO 炸弹,悲惨命运
病毒变种: MyDoom.A,MyDoom.B

感染系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, 
           Windows Server 2003, Windows XP
发现日期:2004/01/27(MyDoom.A), 2004/01/28(MyDoom.B) 

病毒简介:
    MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病
毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量
带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127
到3198范围内)。

  MyDoom病毒还设定了自2月1日起向www.sco.com和www.microsoft.com网站发起大量连接
请求而造成DDOS攻击,一直持续到3月1日(但DDOS攻击停止后蠕虫留下的后门不会自动消除)。
Mydoom.B还阻止被感染机器访问一些著名反病毒厂商的网站。 


个人防范建议:
    1. 立即更新您的防病毒软件,如果怀疑您的系统受到感染,立即彻底扫描整个系统;
    2. 不要轻易打开下述特征的电子邮件(见附件二和附件三);
    3. 在收邮件的客户端软件中加入过滤规则,邮件特征参见附件:
    4. 如果您的防病毒软件不能清除MyDoom病毒,您可以使用Symantec 公司提供的MyDoom专杀
工具(见附件一)

校园网防范建议:
    1. 教育您的用户不要轻易打开电子邮件附件,特别是后缀名是.vbs, .bat, .exe, .pif
 and .scr的附件,这些文件经常用于传播病毒;
    2. 教育用户安装所有的操作系统补丁,经常更新系统;
    

附件一:Symantec 公司提供的MyDoom 清除工具
附件二:MyDoom.A的特征分析
附件三:MyDoom.B的特征分析
附件四:MyDoom的手工清除步骤



附件一Symantec 公司提供的MyDoom 专杀工具
        CCERT本地下载:  fxMydoom.exe 
        下载到本地双击运行即可,详细使用说明参见 Symantec 公司提供的说明

附件二:MyDoom.A的特征分析(源自Symantec 公司, CCERT 编译)

    MyDoom.A 感染以后,将执行如下操作:
    1.创建下列文件: 
	%System%\Shimgapi.dll. Shimgapi.dll 会监听从TCP 3127 到 3198 范围内的一个端
口,从这个后门可以下载和执行任意程序;  
	%Temp%\Message. 这个文件含有随机字符,以Notepad 显示;
	%System%\Taskmon.exe.
	

    2.将值:"(Default)" = "%System%\shimgapi.dll"
      添加到注册表键:HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32 
      将值:"TaskMon" = "%System%\taskmon.exe"
      添加到以下注册表键中:
	HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
	HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

   3.2004年2月1日到2004年2月12日,通过新创建63个会发送GET请求、直接连接到80端口的线
程,尝试对www.sco.com发动拒绝服务攻击.


  
   4.在具有下列扩展名的文件中搜索电子邮件地址,并发送带有
病毒的邮件。 
	.htm 
	.sht 
	.php 
	.asp 
	.dbx 
	.tbb 
	.adb 
	.pl 
	.wab 
	.txt
      注意:它会忽略以 .edu 结尾的地址,但不会忽略以.edu.cn结尾的地址。
    5.将自身作为下列文件之一复制到 Kazaa 下载文件夹: 
	winamp5 
	icq2004-final 
	activation_crack 
	strip-girl-2.0bdcom_patches 
	rootkitXP 
	office_crack 
	nuke2004

	使用下列之一作为扩展名:

	.pif 
	.scr 
	.bat 
	.exe
    
      6.这个病毒还包括一种功能,可以把病毒自身远程安装到被感染MyDoom.A的系统上。实现
步骤如下:
产生2到6个并发进程,随机扫描一个C类的网络的3127端口,如果连接成功,则病毒会发送一个升
命令,并把自身拷贝到远程计算机上。



   MyDoom.A发送的邮件具有如下特征:
    
    发件人:可能是经过伪装的发件人地址

    主题:可能是下列之一:
	test
	hi
	hello
	Mail Delivery System
	Mail Transaction Failed
	Server Report
	Status
	Error

    正文:可能是下列之一:
	Mail transaction failed. Partial message is available.
	The message contains Unicode characters and has been sent as a binary attachment.
	The message cannot be represented in 7-bit ASCII encoding and has been 
sent as a binary attachment.

    附件:文件名可能是下列之一:
	document
	readme
	doc
	text
	file
	data
	test
	message
	body

     注意: 
	附件可能有两个后缀。其中一个后缀可能下列之一:
	.htm
	.txt
	.doc

	蠕虫总是会使用下面后缀中的一个:
	.pif
	.scr
	.exe
	.cmd
	.bat
	.zip(这是一个实际上含有病毒程序的 .zip 文件。该蠕虫程序的名字和这个 .zip 
的文件名一致。)



附件三:MyDoom.B的特征分析(源自F-Secure,CNCERT翻译)

--------------------------
该蠕虫运行后首先寻找Mydoom.A,,如果找到则终止Mydoom.A蠕虫体进程的运行并且删
除"shimgapi.dll"文件。 
1. 生成下列文件:
	%sysdir%\explorer.exe
	%sysdir%\ctfmon.dll

    ctfmon.dll是该蠕虫的后门组件,蠕虫通过注册表中的
    [HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
     加载ctfmon.dll。
2. 在注册表中增加键值:
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Explorer" = %sysdir%\explorer.exe

如果失败,则添加至:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe

[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = %SysDir%\ctfmon.dll 
3. 通过对等文件分享软件进行传播
该变种把蠕虫体拷贝到Kazaa下载目录中,可能的文件名为: 
    NessusScan_pro
    attackXP-1.26
    winamp5
    MS04-01_hotfix
    zapSetup_40_148
    BlackIce_Firewall_Enterpriseactivation_crack
    xsharez_scanner
    icq2004-final
可能的扩展名为: 
    .bat
    .exe
    .scr
    .pif

4. 蠕虫以自身的邮件引擎发送蠕虫体

(1)发送邮件地址的获得该蠕虫从Windows的地址簿以及一些特定类型文件中收集邮件地址,
并以自身的邮件引擎向它们发送蠕虫体,同时它也避免向一些有特定邮件帐户名的地址发送。
 
a. 从如下扩展名文件中搜寻邮件地址:
    wab
    pl
    adb
    dbx
    asp
    php
    sht
    htm
    txt

b. 一旦选择了一个邮件地址来发送自身后,该蠕虫也将向该邮件地址同一域名的如下帐户发送
自身:

    john maria dan brent 
    alex jim dave alice 
    michael brian matt anna 
    james serg steve brenda 
    mike mary smith claudia 
    kevin ray stan debby 
    david tom bill helen 
    george peter bob jerry 
    sam robert jack jimmy 
    andrew bob fred julie 
    jose jane ted linda 
    leo joe adam sandra 

c. 避免发送的邮件地址帐户名:

    root nothing site not 
    info anyone contact submit 
    samples someone soft feste 
    support your no ca 
    postmaster you somebody gold-certs 
    webmaster me privacy the.bat 
    noone bugs service page 
    nobody rating help   

(2)蠕虫发送的带毒电子邮件格式

a. 邮件主题:(下列之一)
    Status 
    hi
    Delivery Error
    Mail Delivery System
    hello
    Error
    Server Report
    Returned mail

b. 邮件正文:(下列之一)
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message hasbeen received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.

c. 邮件附件文件名:(下列之一)

    document
    readme
    doc
    text
    file
    data
    message
    body

d. 邮件附件扩展名 
邮件附件可能有一个或两个文件扩展名,如果它有两个扩展名,则第一个是:(下列之一)
   .htm
   .txt
   .doc

第二个扩展名,或者如果只有一个扩展名,则是:(下列之一)

    .pif
    .scr
    .exe
    .cmd
    .bat

e. 邮件附件所用图标使得它看起来是一个文本文件

5. 期限
    该蠕虫将在2004年3月1日后停止运行,但是后门程序还将继续运行。
6. 后门
    该蠕虫有能力发送自身到已经感染Mydoom.A的主机上。它首先对随机生成的IP地址列表进行
扫描以便发现已被Mydoom.A感染的主机,之后尝试连接TCP 3127端口(Mydoom.A所留后门利用的
端口),如果连接成功则传送自身并立即执行,从而不需要用户通过邮件接收新蠕虫体就可更新
被感染蠕虫为新的版本。 

此外,该蠕虫通过调用函数gethostbyname()获知被感染主机的主机名,解析其IP地址并扫描寻
找同一网段内感染Mydoom.A蠕虫的其他主机。

该蠕虫与Mydoom.A一样也留有后门组件(ctfmon.dll),该组件在被感染的系统中打开端口1080
以接受来自远程用户的访问。它也可能利用3128,80,8080,10080等端口。

7. DDOS攻击
该蠕虫分别于2004年2月3日和2004年2月1日对www.microsoft.com网站和 www.sco.com 网站进行
DDOS攻击。 该蠕虫在DDOS攻击时如果无法成功解析www.sco.com,则等待65秒后重新尝试,如果
无法成功解析www.microsoft.com,则等待16秒后重新尝试。

8. 阻止被感染主机访问反病毒网站
该蠕虫通过改写被感染主机的hosts file,强制被感染主机将一些著名反病毒公司及其他一些商
业站点的网址解析成0.0.0.0的IP地址,从而使得该主机无法访问这些站点。改写后的hosts file
文件内容如下: 
0.0.0.0 engine.awaps.net awaps.net www.awaps.net 
ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com 
clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net 
www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net 
banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com ftp.sophos.com f-
secure.com www.f-secure.com
0.0.0.0 ftp.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com 
updates.symantec.com
0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com 
windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com 
www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru 
www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com
 dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com 
www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net
在攻击微软网站的时间到来之前还添加了0.0.0.0 www.microsoft.com,这使得感染主机无法访
问微软站点。2月3日之后,该行被删除,从而保证DDOS攻击可以进行。如果DDOS攻击成功,
会导致所有用户很难访问该网站。 

改动hosts file主要的目的是使得用户不能通过下载更新最广泛使用的反病毒产品来清除该蠕
虫。 



附件四: MyDoom 的手工清除步骤
 
MyDoom.A手工清除步骤
----------------------
1. 删除下列注册表键值
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
\Version
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的 
   "Taskmon"="%System%\taskmon.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的 
   "Taskmon"="%System%\taskmon.exe"

2. 修改注册表键
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 
   的"数值数据"为
%SystemRoot%\System32\webcheck.dll (Win2000/NT/WinXP)
Windows\System\webcheck.dll (Win98)

3. 删除文件
%System%\Shimgapi.dll
%Temp%\Message
%System%\Taskmon.exe

MyDoom.b手工清除步骤:
--------------------------
1. 删除下列注册表键值
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Explorer]
[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
2. 删除蠕虫释放的文件
%SysDir%\explorer.exe
%SysDir%\ctfmon.dll
3. 还原hosts file
对于win2000和xp,这个文件是 %system%\system32\drivers\etc\hosts 
对于win98,这个文件是 \WINDOWS\hosts
删除hosts file中所有本蠕虫所添加的部分,它们旨在阻塞对反
病毒厂商和其他商业网站的正常访问。

 


-------------------------------------------------------

参考信息:

http://www.cert.org.cn/articles/virus/common/2004020221410.shtml
http://www.f-secure.com/v-descs/novarg.shtml
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html

网络信息中心
 Copyright 上海第二工业大学网络信息中心版权所有