新建网页 1

关于 Dvldr32 蠕虫防范的公告(CCERT)

2003年3月7日以来，一种破坏力很强的蠕虫（暂且以攻击程序的名字命名为Dvldr32
蠕虫）在网络上大面积传播，控制了大量口令设置不安全的Windows系统，对网络造成了很
大破坏。目前主要的网络运行商已经在网络上对其传播途径进行了控制，但是，被感染的
系统、可能被感染的系统仍然大量存在，有必要引起进一步的关注。

1. 易受感染的系统

    Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.

2.蠕虫利用系统漏洞

    弱口令，比较典型的是管理员（administrator）口令为空

3.主要危害

    计算机感染Dvldr32蠕虫后，定期的随机选择两个C类地址进行扫描（TCP 445端口），
如果目标机器上存在弱口令账号（如：administrator账号密码为空），蠕虫便会利用该账号
将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门（TCP
5800,TCP 5900），并通过互联网聊天协议（IRC，TCP 目标端口6667）与境外的服务器进行
通信。

    该蠕虫的扫描和传播可能造成网络严重拥塞，主要表现为大量 TCP 445端口的扫描、
TCP 6667端口的通信。另外，网络流量监测结果表明IP协议字段为 255( IP 头标的第9个
字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。

4. 蠕虫的检测方法（面向计算机用户）

    如果出现以下特征之一，可以认为系统已经被感染：

    (1) 如果你的管理员口令为空或者容易猜测的口令，那么你的计算机系统可能已经被感
染了，或者很容易受到感染；

    (2) 登录计算机系统，执行netstat -an命令，如果出现大量对外6667端口的TCP连接，
或者正在监听TCP 5800和5900端口，那么你的系统可能被感染了，如下所示：

C:\>netstat.exe -n
Active Connections
Proto Local Address      Foreign Address        State
TCP    x.x.x.x:1043      149.156.91.2:6667      CLOSE_WAIT
TCP    x.x.x.x:1045      198.65.147.245:6667    CLOSE_WAIT
.....
TCP    x.x.x.x:4811      198.65.147.245:6667    CLOSE_WAIT
TCP    x.x.x.x:4887      149.156.91.2:6667      CLOSE_WAIT

    (3) 如果系统目录下出现了一下文件，那么你的系统可能被感染了：

C:\> dir /O:D winnt\system32
C:\winnt\system32 的目录
..
2003-03-07 02:23              745,984 Dvldr32.exe
2003-03-08 19:53               61,440 PSEXESVC.EXE
2003-03-08 22:38              684,562 inst.exe
2003-03-08 22:38               36,352 psexec.exe
2003-03-09 00:21       <DIR>          .
2003-03-09 00:21       <DIR>          ..

C:\>dir winnt\fonts /O:D
.....
2000-01-10 12:00              118,752 webdings.ttf
2002-11-06 15:45               32,768 VNCHooks.dll
2002-11-06 15:45               57,344 omnithread_rt.dll
2002-11-06 17:07              212,992 explorer.exe
2002-11-06 17:58               29,336 ~GLH0003.TMP
2002-11-06 17:58               29,336 rundll32.exe

    (4) 检查注册表, 如果增加了如下键值，则你的系统已经被感染了：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
"Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
"messnger"="C:\\WINNT\\system32\\Dvldr32.exe"

5. 蠕虫的删除方法（计算机用户）

    (1) 为 administrator 设定安全的口令，检查其他所有普通用户口令的安全性；

    (2) 终止名为dvldr32.exe 和rundll32.exe 的进程；

    (3) 删除以下文件(%windir%是windows nt/2000的根目录，比如c:\winnt)：

    %windir%\system32\dvldr32.exe
    %windir%\fonts\explorer.exe
    %windir%\fonts\omnithread_rt.dll
    %windir%\fonts\VNCHooks.dll
    %windir%\fonts\rundll32.exe
    %windir%\system32\cygwin1.dll
    %windir%\system32\ INST.exe

    (4) 清理注册表，删除3(4)中所提到的注册表中的键值

    (5) 重新启动计算机

6. 蠕虫的网络检测（网络管理员）

    如果你管理的网络出现了以下现象，那么网络中可能有计算机系统受感染了

    (1) 网络性能显著下降；

    (2) 用流量分析工具（比如Unix平台的tcpdump 、Windows 平台的Sniffer pro）,
         可以看到从网络内部发起的大量目标端口为445、6667的TCP 数据包；

    (3) 用端口扫描软件（比如Linux 平台的nmap），扫描你所管理的网络，如果有的
         计算机同时打开了TCP 445 、5800、5900端口，则该计算机系统可能被感染了。

7. 蠕虫的控制手段（网络管理员）

　　在边界路由器或防火墙上配置访问控制规则，可以控制蠕虫传播的途径，起到保护内部
网络、控制被感染系统扩散的目的。

　　例如，可以在cisco 路由器上的配置如下访问控制表:

    access-list 110 deny tcp any any eq 445
    ! 用于控制蠕虫的扫描和感染；
    access-list 110 deny tcp any any eq 5800
    access-list 110 deny tcp any any eq 5900
    ! 用于防止受感染的系统被远程控制

　　access-list 110 deny tcp any any eq 6667
    ! 用于控制受感染的系统与聊天服务器的通信
    access-list 110 deny udp any any eq 1434
    ! 用于控制 Slammer worm

    access-list 110 deny 255 any any
    access-list 110 deny 0 any any
    ! 用于控制 IP Protocol 为255 和0 的流量

    access-list 110 permit ip any any
　