[转帖]Win32.xorala.2048病毒说明及解决方法
[这个帖子最后由cnangel在 2003/09/19 02:41pm 第 1 次编辑]
Win32.xorala.2048病毒说明及解决方法
Win32.valla.2048也叫win32.xorala.2048, 它是win32病毒,感染Windows目录及系统目录下的可执行文件。运行时,病毒会在本地驱动器中查找PE形式的Windows可执行文件(即*.EXE),并感染。感染的文件生成名为“XOR”的节表(Section table),文件大小增加2,048字节。
现象:运行时,弹出一个WINDOWS文件保护的框,内容大概是,有文件已被改变,需要放入WINDOWS2000的安装盘,进行恢复。 进程里多了几十个CMD.EXE. 机器速度很慢。 还有PING.EXE FHIDE.EXE
传染分析:这个病毒通常伴随着另一个病毒bat.mumu而传染的。蠕虫Mumu是一种批处理脚本文件,也是可执行的配置文件以及初始化文件。蠕虫的文件包括恶意代码程序、黑客工具以及正常的卸载工具。蠕虫通过局域网传播,并试图破解远端电脑超级用户的口令从而获得权限。蠕虫会使用其自带的字典进行破解,如果成功,蠕虫会将自己的所有文件都拷贝到远端电脑的系统目录下,并运行启始脚本。这些文件主要有:
l start.bat – 初始批处理脚本,使用不同参数执行文件muma.bat、10.bat以及near.bat
l muma.bat -运行 PCGhost 程序
l 10.bat – 使用HFind.exe程序扫描C类网端,并运行ipc.bat
l near.bat – 在可连接的机器列表中搜索易受攻击的系统
l ntservice.bat – 调用ntservice.exe
l ss.bat – 在系统增加一个帐号admin
l replace.bat – 调用文件"rep.exe" 用来修复格式化后的IPCFind.txt
l ipc.bat – 运行文件hack.bat
l hack.bat – 复制所有的程序到目标机器并在远端机器上运行 start.bat
l HFind.exe – 木马PCScan - scans a range of IP addresses and hacks passwords
l nwiz.exe – pcGhost程序
l pcMsg.dll – 程序pcGhost的一部分
l nwiz.ini -初始化文件
l nwiz.in_ - 初始化文件 病毒自带的端口扫工具
l psexec.exe – 远程进程执行工具
l rep.exe – Replace命令程序
l IPCPass.txt – 字典(密码列表)
l IPCFind.txt – 木马PCScan输出的文件
l tihuan.txt – 用来格式化文件IPCFind.txt
l A.LOG – 临时日志文件
l LAN.LOG -临时日志文件
l B.TMP –记录目标网段内用Ping命令得到的结果
具体流程:START.BAT首先被执行,设定扫描网段,调用并控制其他文件的运行。 1. 10.BAT 调用HFind.exe扫描指定的网段。 2. hfind.exe是一个IPC扫描工具,将默认用户登陆密码设置为空的机器的IP地址记录下来,保存到IPCFind.txt,默认端口是139。 3. replace.bat 调用rep.EXE把IPCFind.txt的文本信息转换为病毒可以使用的格式。 4. ipc.bat读取IPCFind.txt中的每一条IP和帐号信息,调用hack.bat进行攻击。 5. hack.bat是入侵模块。它使用net use指令,以取得的默认帐号对指定ip进行ipc连接,然后拷贝当前目录下的21个病毒文件到对方机器的系统目录(admin$system32)下面。最后远程启动ntservice.bat。 6.ntservice.bat的任务是调用ntservice.exe,在系统中启动名称为“ Application”的服务。该服务运行的结果是调用ss.bat。 7.ss.bat使用net user命令在系统增加一个帐号admin,密码为KKKKKKK,并添加到管理员组。最后以此帐号和密码登陆127.0.0.1(就是被感染机器),以管理员的身份调用START.BAT。这样,新一轮的攻击又开始了。
由于该病毒频繁扫描网络,会向网络发大量数据包,所以大大降低了网络速度。另外,该病毒本身不会破坏系统文件,但是在传播过程中,其中的HFind.exe等exe文件感染病毒Win32.Valla,结果用户的机器被入侵后,系统中大量的.exe文件会被破坏。
具体解决方法:
l 最好关掉WIN2000下的共享,查杀的时候最好从网络上断开
l 在系统的“用户和组”的选项内,将ADMIN这个增加的用户删掉。
l 已安装KILL6的用户,在升级到最新的特征码后是可以防住这两个病毒的,如果一旦被感染,可以将系统启动到安全模式下做扫描。
l 如果有文件清除不干净,主要的文件是EXPLORER.EXE和RUNDLL32.EXE,可能是改名,你可以用软盘从干净的WIN2K系统拷贝或者直接从WIN2K安装盘解出这两个文件(假定光盘在G:,具体操作是:expand G:I386explorer.ex_ c:explorer.exe),然后将该文件拷贝到相应的目录。
注意:WIN2K的PRO和SERVER版本的文件是不一样的。
最后,重新启动机器,在正常启动的系统中再进行查杀。
另一篇文章:
用以下两个专杀工具,这两个病毒处理起来是非常简单的,处理速度很快,效果也不错。下载地址: www.vrv.com.cn/tools/killbat.com www.vrv.com.cn/tools/killxorala.com 下载完成后,直接运行即可以下是两种病毒的分析报告: Win32.Xorala病毒分析报告
-------------------------------------------------------------------------------- 病毒名称:Win32.Xorala
其它名称:W32/Valla, Win32.Valla.204
病毒属性: 病毒
危害性: 普通
流行程度: 普通
症状:
感染PE形式的可执行文件(*.exe)。
具体介绍:
Win32.Xorala是一种Win32病毒,为非常驻型病毒,感染PE形式的 Windows可执行文件(*.EXE),并在Windows 9x / NT 系列中可正常活动.
在感染过程中,Win32.Xorala会在被感染文件中添加一个名为"XOR" 的区域,并往其中添加自己的病毒代码,大小为2048字节。该病毒在文件内搜索XOR文字,使不再感染。该病毒除感染文件之外,没有其它病毒.
病毒Win32.Xorala的代码中包含下列隐含信息:
"-= XOR 2009 Valhalla =- Assembled 1997 .. Activated 07.2002 - devoted for peace and harmony in universe against war, racism, terrorism and cruel brutality .. remember .. life is the most important thing - not money .. it“s time for a revolution NOW ...."
清除方法:
下载专杀工具清除病毒.
http://www.vrv.com.cn/tools/killxorala.com
病毒名称:I-WORM.Muma.Bat.A 病毒类型:蠕虫执行环境:Windows95/98/NT/2000/XP 传播途径:管理共享危害程度:中病毒特征:
该病毒由许多个文件组成,具体如下: 10.bat hack.bat ipc.bat muma.bat near.bat random.bat replace.bat start.bat(病毒传播的首文件) ss.bat(用于创建一个管理员帐号来在远程系统上运行psexec.exe) rep.exe(用于响应批处理文件调用来复制文件的正常程序) tihuan.txt nwize.exe(nVidia程序) nwize.in_(nwize.exe的配置文件) nwize.ini(nwize.exe的配置文件) pcMsg.dll(pcGhost的一个正常的dll文件) psexec.exe(启动远程程序的工具) hfind.exe(红客联盟的弱口令扫描工具) ipcpass.txt(hfind.exe的密码库文件) ntservice.exe(根据ntservice.ini中的配置来创建一个服务,服务启动运行“cmd.exe /c ss.bat”) ntservice.bat(用于application服务的安装和启动) ntservice.ini(ntservice.exe的配置文件)
病毒首先从start.bat文件开始执行,运行中调用了一系列的批处理文件,病毒首先遍历本地的C盘到H盘的所有本地硬盘并将结果写入到文件lan.log中,然后判断lan.log文件中是否包含MU字符串,如果有就删除该日志文件;接下来病毒会尝试删除文件ipcfind.txt(hfind.exe查找的结果记录文件),然后运行hfind.exe(红客联盟出品的一个命令行nt弱口令扫描工具,由于需要输入固定的ip段作为扫描的参数,病毒首先随机取得了ip地址的前两个字段的值,后两个字段固定取值0.1到0.254),hfind.exe运行将调用密码库ipcpass.txt文件,如果该文件为空,hfind.exe将取以下默认密码来穷举局域网中管理共享(admin$)的密码:空密码用户名用户名123 用户名1234 password passwd admin pass 123 1234 12345 123456 并将结果写到文件ipcfind.txt中;接着病毒通过批处理文件replace.bat调用程序rep.exe将ipcfind.txt中的内容写到新文件Tihuan.txt当中,并将原文件删除,然后病毒利用某台计算机管理共享的弱口令(在tihuan.txt中)将病毒文件拷贝到这台机器的admin$system32(对应从本机查看的%systemroot%system32目录)当中,并用本机的start.exe(系统程序)调用psexec.exe来将该远程计算机中的start.bat文件启动起来。
病毒在完成以上操作以后会运行程序netstat.exe,并将输出结果记录到文件a.tmp,然后病毒调用文件near.bat,并将ip地址提供给它。在windows NT/2000/XP操作系统上,病毒会通过netservice.bat来调用netservice.exe加参数-install安装一个服务(为了防止出现提示信息,批处理文件中全部把屏幕输出到了一个临时文件a.tmp当中),服务的名称为application,服务启动会执行程序“cmd /c ss.bat”,而ss.bat文件用于在本地生成一个叫做admin的用户(密码设置为KKKKKKK),并将其加入管理员组,然后以这个用户身份在本地计算机运行start.bat。
至此,病毒运行的全部过程就是如此,由于病毒在start.bat文件中加入了goto start参数,start.bat将无限制的运行下去,可能会导致cpu资源出现不足的情况,而且由于hfind.exe对网络的扫描,可能会造成局域网拥塞的现象发生。但是由于病毒本身存在的缺陷,可能会造成在不同的系统上有不同的表现。
病毒清除
一. 使用专杀工具查后;删除帐户admin或者是修改其密码、将其从管理员组删除;修改管理员administrator的密码到比较安全的地步(一般认为7位或者是14位为比较安).
二. 手工清除方法: 1. 杀掉以下进程 cmd.exe ping.exe find.exe hfind.exe psexec.exe 2. 在服务管理器中停止服务application,并进入注册表删除以下主键: Hkey_Local_MachineSystemCurrentControlSetServicesApplication 3. 进入%systemroot%system32目录删除所有与病毒相关的文件
三. 推荐使用相关软件来查杀此病毒。
|
发表于 2003-9-19 14:40
| 
发表于 2003-9-22 12:17
| 
