江蘇城鄉(xiāng)建設(shè)職業(yè)學院 江輝

近期，筆者學校的服務器遭到一種未知的新型蠕蟲類變種病毒的大范圍攻擊，大量Windows 服務器中毒，這次變種蠕蟲病毒的攻擊與以往的蠕蟲類病毒攻擊有較大改變，具體體現(xiàn)在兩個方面，一是攻擊策略新，它能精準找到服務器群進行跨網(wǎng)段攻擊；二是傳播速度快，危害大。

服務器中毒后的癥狀

中毒后，病毒在C:WINDOWSSYSTEM32DRIVERS目錄下生成taskmgr.exe 和svchost.exe 這兩個病毒文件。這兩個文件是Windows系統(tǒng)文件，正常情況下它們的位置應該在c:windowssystem32 目錄里，病毒文件偽裝成與這兩個正常系統(tǒng)文件同名，并將它們放置在c:windowssystem32drivers目錄中（根據(jù)Windows 版本不同，有的存放在c:windowssyswow64drivers 目錄中），因為與正常Windows 系統(tǒng)文件同名，我們在查看進程表的時候會誤認為是正常進程，很難被發(fā)現(xiàn)。

圖1 病毒會添加Ddriver 和WEBSERVERS 兩個啟動項目

在c:windowssystem32目錄中生成wmiex.exe、svhost.exe 這兩個病毒文件供計劃任務調(diào)用，正常的c:windowssystem32 目錄中的系統(tǒng)文件是svchost，而這個目錄生成的病毒文件是svhost，不仔細看很難分辯出來，還以為是正常的系統(tǒng)文件。

中毒后病毒會打開cmd 或powershell進程運行病毒，在注冊表HKEY?_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN及 HKEY_LOCAL_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN 中添加Ddriver 和WEBSERVERS 兩個啟動項目，在服務中添加Ddriver 服務，這么做的目的是為了開機或重啟后啟動病毒（如圖1、圖2 所示）。

圖2 病毒會添加Ddriver 和WEBSERVERS 兩個啟動項目

在計劃任務中,病毒會添 加Ddrivers、DnsScan、WebServers 這三個任務，這三個任務調(diào)用上文提到的病毒文件，無限期地每隔1 小時重復執(zhí)行一次，啟動病毒運行。

病毒的攻擊策略

通過抓包分析，我們發(fā)現(xiàn)192.168.10.30 正在請求連接192.168.66.250（這是服務器群中的一臺服務器）的445 端口，這是典型的蠕蟲類病毒攻擊。

為發(fā)現(xiàn)病毒的整個攻擊軌跡，筆者重新啟動192.168.10.30 這臺電腦，首先將這臺電腦與192.168.5.79 的電腦采用SMB 協(xié)議進行通信，訪問192.168.5.79 的445 端口，看上去很像是蠕蟲病毒攻擊。但經(jīng)過分析發(fā)現(xiàn)，192.168.5.79 設(shè)置了打印共享，192.168.10.30 訪問192.168.5.79 的共享打印，屬正常的通訊。

圖3 病毒開始對域名服務器進行訪問

然后，192.168.10.30開始對域名服務器192.168.66.88 訪問，請求域名解析（如圖3 上面邊框部分）。至此，這些都是正常的訪問。接著，這臺電腦訪問了v.beahh.com(如圖3 下面邊框部分)這個網(wǎng)址，并與這個地址采用HTTP 協(xié)議進行了數(shù)據(jù)傳輸。經(jīng)查，這個網(wǎng)址的服務器位于國外，這是個木馬地址，訪問該地址的目的是下載攻擊腳本，這樣就可以隨時采用最新的腳本進行攻擊，這是與傳統(tǒng)的病毒不同的地方。

下面病毒開始正式攻擊，它先遍歷中毒電腦所在網(wǎng)段（192.168.10 網(wǎng)段）的所有電腦，從1-254，嘗試連接這些電腦的135 端口。

接著，又遍歷66 網(wǎng)段的所有IP 地址的135 端口，從1-254。然后，又遍歷192.168.5 網(wǎng)段所有IP 地址的135 端口。66 網(wǎng)段（訪問域名服務器及殺毒軟件服務器）和5 網(wǎng)段（訪問打印機共享）都是剛才這臺中毒電腦訪問過的網(wǎng)段。

病毒開始遍歷192.168.0 網(wǎng)段和192.168.1 網(wǎng)段，192.168.2 網(wǎng) 段、192.168.8 網(wǎng)段，10.0.0 網(wǎng)段、218.93.54 網(wǎng)段所有IP地址的135 端口。這些都是常用的局域網(wǎng)網(wǎng)段，其中218.93.54 網(wǎng)段是學校的公網(wǎng)IP 地址段。

掃描完135 端口后，病毒又繼續(xù)掃描192.168.10、192.168.66、192.168.66.5、192.168.0、192.168.1、192.168.2、192.168.8 以及10.0.0 網(wǎng)段的445 端口和65533 端口。

當這些網(wǎng)段的135端口、445 端口、65533端口掃描完成后，病毒發(fā)現(xiàn)了192.168.10.31這臺有漏洞，于是開始連接445 端口展開持續(xù)攻擊。經(jīng)查，192.168.10.31 是一臺位于行政樓的一卡通工控機，它果然已經(jīng)中毒。

綜上所述，總結(jié)一下病毒攻擊策略，病毒首先訪問v.beahh.com 這個地址下載攻擊腳本，然后掃描中毒電腦所在網(wǎng)段（即192.168.10網(wǎng)段）中所有IP 地址的135端口，之后掃描該電腦訪問過的網(wǎng)段的135 端口，即192.168.5 網(wǎng)段（訪問共享打印機），192.168.66 網(wǎng)段（域名服務器192.168.66.88），然后掃描192.168.0 網(wǎng)段、192.168.1 網(wǎng)段、192.168.2網(wǎng)段、192.168.8 網(wǎng)段及10.0.0 網(wǎng)段的135 端口。

為什么選取這些網(wǎng)段呢？因為這些都是最常用的內(nèi)網(wǎng)網(wǎng)段，病毒選取這些網(wǎng)段，以最小的電腦資源消耗，達到最有效的攻擊成果。135 端口掃描完成后，病毒開始掃描上述網(wǎng)段的445 端口及65533 端口，135 端口及445 端口都是蠕蟲類病毒攻擊的常見端口。

圖4 配置交換機以阻止其他網(wǎng)段的病毒攻擊

但65533 端口是TCP 協(xié)議中最后一個端口，并沒有什么特別的含義，病毒為什么會掃描這個端口呢？筆者猜測這是病毒區(qū)分中毒機和未中毒機的方法，中毒后病毒會打開65533 端口，如果發(fā)現(xiàn)65533 端口打開，表明它已經(jīng)中毒，病毒就不會再去攻擊。

這些端口掃描完成后，病毒發(fā)現(xiàn)了有漏洞的電腦，即192.168.10.31，于是連接其445 端口進行攻擊，后來查明192.168.10.31 是位于行政樓的一臺充值用的工控機，它果然已經(jīng)中毒。

為證實病毒會掃描中毒電腦訪問過的網(wǎng)段，筆者將該電腦的DNS 改名為192.168.250.1，果然，它開始掃描250 網(wǎng)段。

病毒的查殺及防御

1.首先刪除注冊表中HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN及 HKEY_LOCAL_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN中的Ddriver 和WEBSERVERS 兩個子鍵，以避免重啟后運行病毒。

2.刪除Ddriver 服務，以避免電腦啟動后運行病毒。

3.在計劃任務中刪除 Ddrivers、DnsScan、WebServers 這三個任務，以避免病毒自動定時啟動。

4.重啟服務器，按F8 進入安全模式，在安全模式下運行殺毒軟件查殺病毒，360或火絨殺毒軟件均能查殺此類病毒，可自行下載安裝，都是免費的。

5.重新啟動，打開Windows 的自動更新，更新補丁。

6.在交換機上做如圖4所示的配置，以阻止其他網(wǎng)段的病毒攻擊服務器群網(wǎng)段。

通過以上措施，服務器群的病毒被有效遏制，至今未遭此類病毒的攻擊。