江蘇城鄉(xiāng)建設(shè)職業(yè)學(xué)院 江輝

近期，筆者學(xué)校的服務(wù)器遭到一種未知的新型蠕蟲類變種病毒的大范圍攻擊，大量Windows 服務(wù)器中毒，這次變種蠕蟲病毒的攻擊與以往的蠕蟲類病毒攻擊有較大改變，具體體現(xiàn)在兩個方面，一是攻擊策略新，它能精準(zhǔn)找到服務(wù)器群進(jìn)行跨網(wǎng)段攻擊；二是傳播速度快，危害大。

服務(wù)器中毒后的癥狀

中毒后，病毒在C:WINDOWSSYSTEM32DRIVERS目錄下生成taskmgr.exe 和svchost.exe 這兩個病毒文件。這兩個文件是Windows系統(tǒng)文件，正常情況下它們的位置應(yīng)該在c:windowssystem32 目錄里，病毒文件偽裝成與這兩個正常系統(tǒng)文件同名，并將它們放置在c:windowssystem32drivers目錄中（根據(jù)Windows 版本不同，有的存放在c:windowssyswow64drivers 目錄中），因為與正常Windows 系統(tǒng)文件同名，我們在查看進(jìn)程表的時候會誤認(rèn)為是正常進(jìn)程，很難被發(fā)現(xiàn)。

圖1 病毒會添加Ddriver 和WEBSERVERS 兩個啟動項目

在c:windowssystem32目錄中生成wmiex.exe、svhost.exe 這兩個病毒文件供計劃任務(wù)調(diào)用，正常的c:windowssystem32 目錄中的系統(tǒng)文件是svchost，而這個目錄生成的病毒文件是svhost，不仔細(xì)看很難分辯出來，還以為是正常的系統(tǒng)文件。

中毒后病毒會打開cmd 或powershell進(jìn)程運(yùn)行病毒，在注冊表HKEY?_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN及 HKEY_LOCAL_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN 中添加Ddriver 和WEBSERVERS 兩個啟動項目，在服務(wù)中添加Ddriver 服務(wù)，這么做的目的是為了開機(jī)或重啟后啟動病毒（如圖1、圖2 所示）。

圖2 病毒會添加Ddriver 和WEBSERVERS 兩個啟動項目

在計劃任務(wù)中,病毒會添 加Ddrivers、DnsScan、WebServers 這三個任務(wù)，這三個任務(wù)調(diào)用上文提到的病毒文件，無限期地每隔1 小時重復(fù)執(zhí)行一次，啟動病毒運(yùn)行。

病毒的攻擊策略

通過抓包分析，我們發(fā)現(xiàn)192.168.10.30 正在請求連接192.168.66.250（這是服務(wù)器群中的一臺服務(wù)器）的445 端口，這是典型的蠕蟲類病毒攻擊。

為發(fā)現(xiàn)病毒的整個攻擊軌跡，筆者重新啟動192.168.10.30 這臺電腦，首先將這臺電腦與192.168.5.79 的電腦采用SMB 協(xié)議進(jìn)行通信，訪問192.168.5.79 的445 端口，看上去很像是蠕蟲病毒攻擊。但經(jīng)過分析發(fā)現(xiàn)，192.168.5.79 設(shè)置了打印共享，192.168.10.30 訪問192.168.5.79 的共享打印，屬正常的通訊。

圖3 病毒開始對域名服務(wù)器進(jìn)行訪問

然后，192.168.10.30開始對域名服務(wù)器192.168.66.88 訪問，請求域名解析（如圖3 上面邊框部分）。至此，這些都是正常的訪問。接著，這臺電腦訪問了v.beahh.com(如圖3 下面邊框部分)這個網(wǎng)址，并與這個地址采用HTTP 協(xié)議進(jìn)行了數(shù)據(jù)傳輸。經(jīng)查，這個網(wǎng)址的服務(wù)器位于國外，這是個木馬地址，訪問該地址的目的是下載攻擊腳本，這樣就可以隨時采用最新的腳本進(jìn)行攻擊，這是與傳統(tǒng)的病毒不同的地方。

下面病毒開始正式攻擊，它先遍歷中毒電腦所在網(wǎng)段（192.168.10 網(wǎng)段）的所有電腦，從1-254，嘗試連接這些電腦的135 端口。

接著，又遍歷66 網(wǎng)段的所有IP 地址的135 端口，從1-254。然后，又遍歷192.168.5 網(wǎng)段所有IP 地址的135 端口。66 網(wǎng)段（訪問域名服務(wù)器及殺毒軟件服務(wù)器）和5 網(wǎng)段（訪問打印機(jī)共享）都是剛才這臺中毒電腦訪問過的網(wǎng)段。

病毒開始遍歷192.168.0 網(wǎng)段和192.168.1 網(wǎng)段，192.168.2 網(wǎng) 段、192.168.8 網(wǎng)段，10.0.0 網(wǎng)段、218.93.54 網(wǎng)段所有IP地址的135 端口。這些都是常用的局域網(wǎng)網(wǎng)段，其中218.93.54 網(wǎng)段是學(xué)校的公網(wǎng)IP 地址段。

掃描完135 端口后，病毒又繼續(xù)掃描192.168.10、192.168.66、192.168.66.5、192.168.0、192.168.1、192.168.2、192.168.8 以及10.0.0 網(wǎng)段的445 端口和65533 端口。

當(dāng)這些網(wǎng)段的135端口、445 端口、65533端口掃描完成后，病毒發(fā)現(xiàn)了192.168.10.31這臺有漏洞，于是開始連接445 端口展開持續(xù)攻擊。經(jīng)查，192.168.10.31 是一臺位于行政樓的一卡通工控機(jī)，它果然已經(jīng)中毒。

綜上所述，總結(jié)一下病毒攻擊策略，病毒首先訪問v.beahh.com 這個地址下載攻擊腳本，然后掃描中毒電腦所在網(wǎng)段（即192.168.10網(wǎng)段）中所有IP 地址的135端口，之后掃描該電腦訪問過的網(wǎng)段的135 端口，即192.168.5 網(wǎng)段（訪問共享打印機(jī)），192.168.66 網(wǎng)段（域名服務(wù)器192.168.66.88），然后掃描192.168.0 網(wǎng)段、192.168.1 網(wǎng)段、192.168.2網(wǎng)段、192.168.8 網(wǎng)段及10.0.0 網(wǎng)段的135 端口。

為什么選取這些網(wǎng)段呢？因為這些都是最常用的內(nèi)網(wǎng)網(wǎng)段，病毒選取這些網(wǎng)段，以最小的電腦資源消耗，達(dá)到最有效的攻擊成果。135 端口掃描完成后，病毒開始掃描上述網(wǎng)段的445 端口及65533 端口，135 端口及445 端口都是蠕蟲類病毒攻擊的常見端口。

圖4 配置交換機(jī)以阻止其他網(wǎng)段的病毒攻擊

但65533 端口是TCP 協(xié)議中最后一個端口，并沒有什么特別的含義，病毒為什么會掃描這個端口呢？筆者猜測這是病毒區(qū)分中毒機(jī)和未中毒機(jī)的方法，中毒后病毒會打開65533 端口，如果發(fā)現(xiàn)65533 端口打開，表明它已經(jīng)中毒，病毒就不會再去攻擊。

這些端口掃描完成后，病毒發(fā)現(xiàn)了有漏洞的電腦，即192.168.10.31，于是連接其445 端口進(jìn)行攻擊，后來查明192.168.10.31 是位于行政樓的一臺充值用的工控機(jī)，它果然已經(jīng)中毒。

為證實(shí)病毒會掃描中毒電腦訪問過的網(wǎng)段，筆者將該電腦的DNS 改名為192.168.250.1，果然，它開始掃描250 網(wǎng)段。

病毒的查殺及防御

1.首先刪除注冊表中HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN及 HKEY_LOCAL_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN中的Ddriver 和WEBSERVERS 兩個子鍵，以避免重啟后運(yùn)行病毒。

2.刪除Ddriver 服務(wù)，以避免電腦啟動后運(yùn)行病毒。

3.在計劃任務(wù)中刪除 Ddrivers、DnsScan、WebServers 這三個任務(wù)，以避免病毒自動定時啟動。

4.重啟服務(wù)器，按F8 進(jìn)入安全模式，在安全模式下運(yùn)行殺毒軟件查殺病毒，360或火絨殺毒軟件均能查殺此類病毒，可自行下載安裝，都是免費(fèi)的。

5.重新啟動，打開Windows 的自動更新，更新補(bǔ)丁。

6.在交換機(jī)上做如圖4所示的配置，以阻止其他網(wǎng)段的病毒攻擊服務(wù)器群網(wǎng)段。

通過以上措施，服務(wù)器群的病毒被有效遏制，至今未遭此類病毒的攻擊。