基本相關資料

名稱

W32.Wapomi.B

公佈日期

2010/7/6

風險級數

型態

病毒

可攔阻的病毒定義檔

SAV Intelligent Updater: 7/05/2010 rev. 02

XDB: vd31ca02.xdb

X86: 20100705-002-x86.exe

SEP Intelligent Updater: 7/05/2010 rev. 21

JDB: vd31ca15.jdb

V5i32: 20100705-021-v5i32.exe

MD5檢測碼

XDB:  FE720E9C5E72B1B3628FD1FF19C162D2

X86:   BDDE452B8AE12259DE994F4D9455477C

JDB:   62840105AF6CC5A76A6274F86E95565B

V5i32: 7D3E29E4FE98A304CEBBA7E3C97AA9ED

受影響的作業系統

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP

傳播路徑

網路分享、可移動(可攜式)裝置

狀況說明

W32.Wapomi.B 是一種蠕蟲,此病毒會利用Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (BID 31874)漏洞複製本身至網路共用以及可移動裝置,並且會在遭受破壞的電腦上感染其執行檔。

此蠕蟲可能會藏匿於影音撥放程式,如:QVOD

當此蠕蟲執行時,會監視下列服務狀態:
AppMgmt (appmgmts.dll)
BITS (qmgr.dll)
Browser (browser.dll)
CryptSvc (cryptsvc.dll)
EventSystem (es.dll)
FastUserSwitchingCompatibility (shsvcs.dll)
helpsvc (pchsvc.dll)
Netman (netman.dll)
Nla (mswsock.dll)
Ntmssvc (ntmssvc.dll)
RemoteRegistry (regsvc.dll)
Schedule (schedsvc.dll)
SSDPSRV (ssdpsrv.dll)
Tapisrv (tapisrv.dll)
upnphost (upnphost.dll)
WmdmPmSN (mspmsnsv.dll)
xmlprov (xmlprov.dll)

這些服務是由svchost載入的:
%SystemDrive%\System32\svchost.exe -k netsvcs

當蠕蟲發現到服務停止時,會複製自身到相應的DLL檔案,並啟動被替換的服務。

這些修改過的DLL檔會被檢測為W32.Wapomi.B病毒,可能是以下檔案:
%SystemDrive%\system32\appmgmts.dll

%SystemDrive%\system32\qmgr.dll
%SystemDrive%\system32\shsvcs.dll
%SystemDrive%\system32\mspmsnsv.dll
%SystemDrive%\system32\xmlprov.dll
%SystemDrive%\system32\es.dll
%SystemDrive%\system32\ntmssvc.dll
%SystemDrive%\system32\upnphost.dll
%SystemDrive%\system32\ssdpsrv.dll
%SystemDrive%\system32\netman.dll
%SystemDrive%\system32\mswsock.dll
%SystemDrive%\system32\tapisrv.dll
%SystemDrive%\system32\browser.dll
%SystemDrive%\system32\cryptsvc.dll
%SystemDrive%\system32\pchsvc.dll
%SystemDrive%\system32\regsvc.dll
%SystemDrive%\system32\schedsvc.dll

然後該蠕蟲會建立以下檔案:
%System%\drivers\[RANDOM CHARACTERS].sys (Hacktool.Rootkit)

下一步,該蠕蟲會為上述檔案建立一個機瑪去設定服務:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[RANDOM CHARACTERS]

再來會建立以下機碼:
請參考原廠

下一步,該蠕蟲會覆寫%SystemDrive%\system32\drivers\etc\hosts檔案

下一步,該蠕蟲會感染所有.exe執行檔,包括在.rar裡面的執行檔以及網路分享目錄的執行檔,但是不會感染以下資料夾:
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Outlook Express
RECYCLER
System Volume Information
Thunder
Thunder Network
WINDOWS
Windows Media Player
Windows NT
WindowsUpdate
WinNT
WinRAR

感染的執行檔會被檢測為W32.Wapomi.B!inf

然後蠕蟲會嘗試從遠端裝置下載加密資料和惡意軟體。在下載之前,蠕蟲會檢查網域內IP位址,如果屬於下列位置,則不會下載檔案:
http://192.168.*.*
http://169.254.*.*
http://172.16.*.*
http://10.*.*.*
http://127.*.*.*

蠕蟲會嘗試從下列路徑下載msdownload/update/v5/redir/wuredirt.rar檔案:
http://[RANDOM NUMBER BETWEEN 1 AND 500].ns768.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].WAP517.NET
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631261.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631262.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631262.INFO
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631262.NET
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631262.ORG
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631263.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631263.INFO
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631263.NET
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS1631263.ORG
http://[RANDOM NUMBER BETWEEN 1 AND 500].ns792.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].ns529.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsvjn987.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsvhn987.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].ns2275ab.com

然後會試圖從以下位址下載cl/51.exe檔案:
http://[RANDOM NUMBER BETWEEN 1 AND 500].WAP517.MOBI
http://[RANDOM NUMBER BETWEEN 1 AND 500].WAP517.ORG
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS2000WIP.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS3000WIP.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS4000WIP.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].NS5000WIP.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsv33987.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsvbg987.com

然後蠕蟲會傳送被感染電腦之MAC Address至下列遠端裝置之一:
http://[RANDOM NUMBER BETWEEN 1 AND 500].WAP517.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].WAP517.INFO
http://[RANDOM NUMBER BETWEEN 1 AND 500].NSDOWNUSA.COM
http://[RANDOM NUMBER BETWEEN 1 AND 500].NSDOWNUSA.INFO
http://[RANDOM NUMBER BETWEEN 1 AND 500].NSDOWNUSA.NET
http://[RANDOM NUMBER BETWEEN 1 AND 500].NSDOWNUSA.ORG
http://[RANDOM NUMBER BETWEEN 1 AND 500].NSDOWNUSA.US
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsvw3987.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsopk876.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsyh6778.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsd907.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nshh987.com
http://[RANDOM NUMBER BETWEEN 1 AND 500].nssv987.com

下一步,蠕蟲會開啟IE瀏覽以下網址,該網址可能包含廣告軟體:
http://[RANDOM NUMBER BETWEEN 1 AND 500].nsb927.com:8080/mac.htm?51
http://[RANDOM NUMBER BETWEEN 1 AND 500].nse917.com:8080/mac.htm?51

蠕蟲還會使用下列帳號密碼的組合去嘗試連接預設網路分享:
請參考原廠文件

蠕蟲會複製自身到以下共用位置:
[NETWORK SHARE FOLDER]\[RANDOM CHARACTERS].exe

蠕蟲會從下網址之一下載惡意軟體:
請參考原廠文件

下載惡意軟體儲存到以下位置:
C:\boottemp.exe

蠕蟲複製自身至可移動式儲存裝置:
%DriveLetter%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Install.exe

還會建立下列檔案使蠕蟲在另一台電腦自動執行:
%DriveLetter%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\autorun.inf

移除方式

1. 關閉「系統還原」(Windows Me/XP)

2. 更新病毒定義檔。

3. 執行完整的系統掃描。

4.刪除所有被加入的機碼。

關於這些步驟的詳細資訊,請閱讀下列指示:

1. 關閉「系統還原」(Windows Me/XP)

如果你使用的是Windows MeWindows XP,我們建議你暫時關閉系統還原。MeXP預設是打開這項功能的,回復這些檔案可能造成它們的損壞。如果是病毒,蠕蟲,或木馬感染了電腦,系統還原有可能備份這些檔案。

Windows預防外來的程式,包括防毒軟體修改系統還原。因此防毒軟體或工具無法移除系統還原資料夾裡面的威脅。因此即使你在其他的地方刪除了有感染的檔案,系統還原還是有可能存有受感染的檔案。

此外,病毒掃描可能會偵測到威脅在系統還原的資料夾即使你早就移除了威脅。

至於如何關閉作業系統上的系統還原功能可閱讀本機的Windows說明文件或參照下列連結裡的說明:

l   "如何開啟或關閉Windows ME的系統還原功能"(英文)

l   "如何開啟或關閉Windows XP的系統還原功能"(英文)

注意:如果你完成了移除威脅的程序,請重啟系統還原。

如果想要獲得額外的資訊,和另一種關閉Windows Me的系統還原,你可以查閱微軟知識庫的文章:Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Article ID: Q263455). 

2. 更新病毒定義檔

Symantec Security Response對於所有在網站上公佈的病毒定義檔都有做完整的測試。有兩種方式可以獲得病毒定義檔。

l   執行LiveUpdate,這是一個較容易的方法取得病毒定義檔。

l   如果你使用Norton AntiVirus 2006Symantec AntiVirus Corporate Edition 10.0,或更新的產品,LiveUpdate將會是每日更新。這些產品擁有更新的技術。

l   如果你使用Norton AntiVirus 2005Symantec AntiVirus Corporate Edition 9.0,或較早的產品,LiveUpdate將會是每週更新。major outbreaks是例外,他會更新的稍微頻繁一點。

l   藉由Intelligent Updater下載定義:Intelligent Updater病毒定義是每日更新。你應該從Symantec Security Response網站下載定義並手動更新它們。Intelligent Updater提供了這些威脅的定義,在Virus Definitions (Intelligent Updater)

最新的Intelligent Updater virus definitions可以在這裡找到:Intelligent Updater virus definitions。想要知道詳細的資料可以閱讀下列文件:How to update virus definition files using the Intelligent UpdaterA.

3. 執行完整的系統掃描。

a. 執行您的Symantec antivirus並確定其設定為掃描所有的檔案。

l   Norton AntiVirus consumer products:請閱讀下列文件:How to configure Norton AntiVirus to scan all files

l   Symantec AntiVirus Enterprise products: 請閱讀下列文件:How to verify that a Symantec Corporate antivirus product is set to scan all files

b. 執行全系統掃瞄。

c. 如果有發現任何檔案,用您的防毒軟體執行下列動作。

重要:如果您的軟體無法刪除檔案,你可以試著進入安全模式去停止風險檔案。讀下列文件了解詳細:How to start the computer in Safe Mode一旦您進入安全模式,試著重新掃描一次。

刪除檔案後,在普通模式重啟電腦並執行下一段的動作。

4.從註冊表中刪除以下值:

重要:Symantec強烈建議您在要修改註冊表之前先完整備份註冊表,不正確的修改很可能對檔案造成永
久性的損壞或遺失,如何備份註冊表請閱讀以下文件 :How to make a backup of the Windows registry.

a.   點擊 開始→執行

b.   輸入 regedit

c.   點擊 確認

      注意:如果登錄編輯器無法開啟,代表風險可能已經修改註冊表,請下載此程式並執行修復來解
               決此問題:developed a tool然後繼續執行移除動作
      d.   找到下列機碼並刪除:
      [請參原廠文件]

e.    退出登錄編輯器程式。

相關參考資料

Symantec原廠技術文件:http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-070508-5150-99
[關閉窗口]