|
SYSCON.April Fool.Worm/W32
蠕虫查杀
一、症状:
启动时出现如下对话框提示:
I'm
sorry to trouble you, but It's useless to say sorry. Happy April
Fools' Day:)
Syscon.exe位于%SYSDIR%目录下(windows
2000系列是%windir%system32,win9x系列是%windir%system目录),不能删除,拒绝访问。
进入安全模式后,虽然不弹出对话框,但仍然不能删除Syscon.exe。
二、病毒功能:
病毒名称:I-Worm.HappyFoolsDay(RAV瑞星)/Emai-Worm.Win32.Dushit.a(KAV卡巴斯基)
1、病毒主文件是SYSCON.EXE
(572 KB / 585,728
字节),运行有以下行为:
1)将自己复制到%SYSDIR%目录下,文件名为"SYSCON.EXE"。
2) 运行后弹出上边的对话框。
3) 将自身复制到%SYSDIR%目录下,文件名为mschk.dll
4) 由其资源FUNYWATCHER释放文件
Watcher.dll(72.0
KB / 73,728 字节)到%SYSDIR%目录下,并使用创建远
程线程的方式使该动态库挂接在"WINLOGON.EXE"进程中。
5) 由其资源MONSYS释放一个动态库
(472 KB / 483,328
字节)到%SYSDIR%目录下。文件名有以下可能:
"sysMon.dll"、"mssys.dll"、"netchk.dll"、"msginfo.dll"、"servr.dll"、"client.dll"、"ipchk.dll"、
"msevent.dll"、"atchk.dll"、"dskchk.dll"、"chkrun.dll"。并使用创建远程线程的方式使该动态库挂接在"WINLOGON.EXE"进程中。
6) 会在%SYSDIR%目录下,生成syslog.dll,大小10字节,应该是病毒的临时文件。
2、Watcher.dll动态库(72.0
KB / 73,728
字节)负责监控,运行后
1) 每秒多次修改注册表以下键值以使SYSCON.EXE自启动并防止用户删除该键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
增加"syscon"="%SYSDIR%SYSCON.EXE"
每秒多次修改该键值,防止用户删除该键值。
2)
修改注册表以下键值使系统(Win2K以上版本)启动后加载Watcher.dll这个动态库:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWindows
增加"AppInit_DLLs"="%SYSDIR%WATCHER.DLL"
这样系统重起后,每次启动程序,都会加载该dll。每秒多次修改该键值,防止用户删除该键值。
3)
打开病毒文件%SYSDIR%SYSCON.EXE
和
%SYSDIR%mschk.dll
防止用户删除。
3、由其资源MONSYS
(472 KB / 483,328
字节)
释放的动态库运行后
1) 由其资源FUNNYMSG释放一个动态库文件(416
KB / 425,984
字节)到%SYSDIR%目录下,文件名有以下可能:
"sysMon.dll"、"mssys.dll"、"netchk.dll"、"msginfo.dll"、"servr.dll"、"client.dll"、
"ipchk.dll"、"msevent.dll"、"atchk.dll"、"dskchk.dll"、"chkrun.dll"
并将所释放的动态库挂接在"Explorer.EXE"进程中。
4、由资源FUNNYMSG释放的动态库文件(416
KB / 425,984
字节)
动态库运行后
1)
由其资源释JMAIL放出一个动态库sysmsg.dll
(315 KB / 323,072
字节),并使用regsvr32.exe将注册到系
统中,所释放的动态库挂接在"Explorer.EXE"进程中。
2) 病毒邮件包含以下内容:
n 邮件标题有以下可能:"hello"
、"funny:)" 、"hi" 、"good day:)" 、"hehe" 、"game" 、"smallGame"
n
邮件内容有以下可能:":
hehe" 、": run it:)" 、": it's a joke" 、": little game~~"
n
附件为病毒文件,文件名可能为:
"funny.exe" 、"joke.exe" 、"hello.exe" 、"love.exe" 、"interesting.exe"
、"cat.exe" 、"dog.exe"
、"novel.exe" 、"new_jdk.exe"
n 邮件的发件人可能是你熟悉的某个朋友(来自于中毒者的地址簿)
5、sysmsg.dll
(315 KB / 323,072
字节)
动态库是w3
JMail 4.3(http://www.dimac.net/)的正常邮件发送函数库。不属于病毒。
三、手工杀毒
由以上分析可知,杀毒的关键在于Watcher.dll监控了主程序SYSCON.EXE及其备份mschk.dll,因此不能删除主程序。由于Watcher.dll的注册启动方式的关系,在安全模式下虽然SYSCON.EXE不能启动,但是Watcher.dll还是会启动,也不能删除主程序。
不过作者还是忽略了一点,因此可以简单的手工杀毒,Watcher.dll没有监控自己。
1、将%sysdir%Watcher.dll改名为任意其他名。
2、重启动系统,在启动时按F8启动到安全模式。
3、删除%sysdir%syscon.exe、%sysdir%mschk.dll和改名后的Watcher.dll。
4、重启动系统到正常模式,检查染毒现象是否消失。
5、如果消失,进行后续工作,删除注册表中上述的二个相关键值。删除上边列表中生成的多余dll文件,其实不删除也可以。
四、附录:
系统感染后的文件列表(不全):有问题的文件为syscon.exe和那些.dll,其他是系统文件。
|
|
非IP规则中应当注意的几个问题
大家好,我是工程师小朱,这一期由我来和大家交流一下防火墙的非IP规则配置问题。
NetEye防火墙的状态包过滤功能不仅支持基于IP的各种协议和应用,还支持基于非IP的协议和应用。
但是在使用和配置防火墙非IP规则时需要注意以下几个注意事项:
一、
双向的规则
如果想要一个基于非IP协议的访问通过防火墙,必须制定双向的非IP规则。
例如:要让主机A通过非IP协议访问主机B,必须制定两条非IP规则,一条规则允许A访问B,一条规则允许B访问A。配置规则时需注意方向等问题。这是因为,非IP的访问是没有连接状态的。
二、
添加MAC地址
制定非IP规则时,根据实际的应用需求,在目标MAC地址中不仅要有目标主机的MAC地址,可能还要加入其它的MAC地址,如广播MAC地址和多播MAC地址。
例如:使用基于非IP的NetBIOS协议进行网络访问时,源主机发出的第一个数据包的目标MAC地址是03:00:00:00:00:01(这是一个广播的MAC地址),只有在编辑非IP规则时,目标MAC地址中加上这个地址(或一个包含该地址的地址范围),才能让该网络访问通过防火墙。
工程师信箱:service@ultratech.com.cn
欢迎大家与我一起交流技术方面的问题。
|
本期导读: