w32.downadup.b蠕虫病毒详解及清除攻略

w32.downadup.b蠕虫病毒详解及清除攻略
最近经常到几个工厂走动，发现有的局域网都感染受了W32.Downadup.B蠕虫病毒。

杀毒软件可以查杀，但是都不彻底，一边清除，一边又继续生成，让人不胜其烦。

发这篇日志，就是让今后遇到该问题的朋友能够舒心点。

W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播，也可利用弱密码保护的网络共享进行感染。

W32.Downadup.B会在硬盘上新建autorun.inf 文件，若用户进入硬盘空间，恶意代码便会自动运行。

同时，它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。

一旦连接，此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。

此外，W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串，并以“超时，访问不成功”的方式阻止计算机访问某些网站（如安全更新网站）。

这意味着受感染的计算机可能无法安装补丁或更新杀毒软件，从而无法清除病毒威胁。

W32.Downadup.B病毒介绍
Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates],
W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky] 蠕虫
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
W32.Downadup.B是蠕虫病毒，通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。

它还尝试传播到弱密码保护的网络共享，并阻止访问与安全相关的网站。

W32.Downadup.B病毒会修改 tcpip.sys 文件。

一旦执行，蠕虫会检查下列注册表项是否存在，如果不存在将创建这些注册表项：
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
然后，它会将其自身复制为下列文件中的一个或多个：
* %ProgramFiles%\Internet Explorer\[RANDOM FILE NAME].dll
* %ProgramFiles%\Movie Maker\[RANDOM FILE NAME].dll
* %System%\[RANDOM FILE NAME].dll
* %Temp%\[RANDOM FILE NAME].dll
* C:\Documents and Settings\All Users\Application Data \[RANDOM FILE NAME].dll 它创建具有下列特征的新服务：
服务名称：[PATH TO WORM]
显示名称：[WORM GENERATED SERVICE NAME]
启动类型：自动
接下来通过创建下列的注册表项注册为服务：
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\"ServiceDll" = "[PATH TO WORM]"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Type" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"Start" = "4"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\"ErrorControl" = "4"
注意：[WORM GENERATED SERVICE NAME] 表示从下列单词列表中选取的两个单词组合：* Boot * Center * Config * Driver * Helper * Image * Installer * Manager * Microsoft * Monitor * Network * Security * Server * Shell * Support * System * Task * Time * Universal * Update * Windows
该蠕虫会创建下列注册表项，以便在每次启动 Windows 时运行：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM NAME]" = "rundll32.exe "[RANDOM FILE NAME].dll", ydmmgvos"
接下来，蠕虫会删除所有用户创建的系统还原点。

然后蠕虫运行一个命令，通过禁用 Windows Vista TCP/IP 自动微调加快对受感染计算机的网络访问，从而加速传播。

蠕虫还修改下列注册表项，以便更快速地传播到整个网络：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections" = "00FFFFFE"
接下来，蠕虫会结束下列两项 Windows 服务：
* 后台智能传输服务 (BITS)
* Windows 自动更新服务 (wuauserv)
然后蠕虫修改下列文件，以禁用在 Windows XP SP2 中引入的半开放连接限制：
%System%\drivers\tcpip.sys
它还尝试通过修改下列注册表值在系统上将自身隐藏：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
下一步，蠕虫会枚举可用的 ADMIN$ 网络共享资源。

然后，它枚举这些共享资源中的用户，并尝试使用下列密码之一以现有用户的身份建立连接：
请注意：根据账户锁定设置，蠕虫的多次身份验证尝试可能会导致这些账户被锁定。

如果建立成功，则蠕虫将自身作为下列文件复制到共享：
[SHARE NAME]\ADMIN$\System32\[RANDOM FILE NAME].dll
然后在远程服务器上创建计划的作业，以便每日运行下列命令组合：
"rundll32.exe [RANDOM FILE NAME].dll, [RANDOM PARAMETER STRING]"
接下来，蠕虫连接到下列 URL 以获取受感染计算机的 IP 地址：
*
*
*
*
蠕虫在本地网络网关设备上创建防火墙规则，以允许远程攻击者连接到受感染计算机并通过随机端口从受感染计算机的外部 IP 地址进行下载。

然后蠕虫以下列格式通过随机端口在受感染计算机上创建 HTTP 服务器：
http://[COMPROMISED COMPUTER EXTERNAL IP ADDRESS]:[RANDOM PORT]
然后将此 URL 发送到远程计算机。

接下来蠕虫尝试通过攻击下列漏洞进行传播，以便远程计算机连接到上述命名 URL 并下载该蠕虫。

Microsoft Windows Server Service RPC 处理远程编码执行漏洞 (BID 31874)
蠕虫尝试将自身作为下列文件复制到任意可访问的映射驱动器：
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[RANDOM FILE NAME].dll
蠕虫还尝试在任意可访问的映射驱动器中创建下列文件，以便在访问驱动器时执行：%DriveLetter%\autorun.inf
它还监控受感染计算机上的所有其他新设备，并尝试以同样的方式感染这些新添加的设备。

蠕虫获取大量的 Window API 调用以进行传播，并使其难于删除。

该蠕虫还获取 NetpwPathCanonicalize API，并在调用该 API 时，它会检查 PathName 的长度以避免进一步攻击漏洞。

如果 PathName 包含该蠕虫原来具有的签名，则 PathName 可能包含加密的 URL，并且蠕虫通过此 URL 可以下载文件并执行该文件。

蠕虫在内存中修补下列 API：
* DNS_Query_A
* DNS_Query_UTF8
* DNS_Query_W
* Query_Main
* sendto
蠕虫监控向域发出的包含下列任意字符串的 DNS 请求，并阻止访问这些域以便显示网络请求超时：
* ahnlab * arcabit * avast * avg. * avira * avp. * bit9. * ca. * castlecops * centralcommand * cert. * clamav * comodo * computerassociates * cpsecure * defender * drweb * emsisoft * esafe * eset * etrust * ewido * f-prot * f-secure * fortinet * gdata * grisoft * hacksoft * hauri * ikarus * jotti * k7computing * kaspersky * malware * mcafee * microsoft * nai. * networkassociates * nod32 * norman * norton * panda * pctools * prevx * quickheal * rising * rootkit * sans. * securecomputing * sophos * spamhaus * spyware * sunbelt * symantec * threatexpert * trendmicro * vet. * virus * wilderssecurity * windowsupdate
它联系下列站点之一以获取当前日期：
* * * * * *
* * * * * 然后检查受感染计算机上的日期是否为最新日期，即 2009 年 1 月 1 日。

然后蠕虫以下列格式基于该日期生成域名列表：
[GENERATED DOMAIN NAME].[TOP LEVEL DOMAIN]
注意： [TOP LEVEL DOMAIN] 表示下列顶级域：
* .biz
* .info
* .org
* .net
* .com
* .ws
* .cn
* .cc
注意： [GENERATED DOMAIN NAME] 表示蠕虫创建的域名，例如基于 2009 年 1 月 1 日生成的下列域名列表示
然后蠕虫基于生成的域名联系下列远程位置：
http://[GENERATED DOMAIN NAME]。

[TOP LEVEL DOMAIN]/search?q=%d
然后它从此远程位置下载更新的自身副本。

蠕虫还会与其他受感染计算机通信，通过对等连接机制接收并执行文件。

这些文件需要恶意软件的作者植入蠕虫的网络中。

W32.Downadup.B病毒专杀方法
1.安装微软安全更新MS08-067，安装地址：
/china/technet/security/bulletin/ms08-067.mspx
2.禁用系统还原(WindowsMe/XP)
如果正在运行WindowsMe或WindowsXP，建议您暂时关闭系统还原功能。

此功能由系统默认为启用状态，一旦计算机中的文件遭到破坏，WindowsMe/XP可使用此功能还原文件。

如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows禁止包括防病毒程序在内的外部程序修改系统还原。

因此，防病毒程序或工具无法清除SystemRestore文件夹中的威胁。

这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描也可能在SystemRestore文件夹中检测到威胁，即使您已清除此威胁。

注意：当您完全完成杀毒步骤，并确定威胁已清除后，请按照上述文档中的说明重新启用系统还原。

3.更新病毒定义。

4.查找并终止服务
（1）单击“开始”>“运行”。

（2）键入services.msc，然后单击“确定”。

（3）查找并选择检测到的服务。

（4）单击“操作”>“属性”。

（5）单击“停止”。

（6）将“启动类型”更改为“手动”。

（7）单击“确定”，然后关闭“服务”窗口。

（8）重新启动计算机。

5.根据需要，查找并删除任务计划
（1）单击“开始”>“程序文件”。

（2）单击>“附件”。

（3）单击>“系统工具”。

（4）单击>“任务计划”。

（5）找到并选择任务计划。

（6）单击删除此项目
（7）单击是并关闭“任务计划”窗口。

（8）重新启动计算机。

6.运行全面系统扫描
7.从注册表中删除键值
（1）单击“开始”>“运行”。

（2）键入regedit，
（3）然后单击“确定”。

（4）导航至下列注册表项并将其删除：
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\" [RANDOMNAME]"="rundll32.exe"[RANDOMFILENAME].dll",ydmmgvos"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl"="0"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\ "dl"="0"
*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds"="0"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\ "ds"="0"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [WORMGENERATEDSERVICENAME]\"DisplayName"="[WORMGENERATEDSERVICENAME]"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [WORMGENERATEDSERVICENAME]\"Type"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [WORMGENERATEDSERVICENAME]\"Start"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [WORMGENERATEDSERVICENAME]\"ErrorControl"="4"
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [WORMGENERATEDSERVICENAME]\"ImagePath"="%SystemRoot%\system32\svchost.exe-k *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ [WORMGENERATEDSERVICENAME]\Parameters\"ServiceDll"="[PATHTOWORM]"
（5）根据需要，将下列注册表项恢复到其以前的值：
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ "TcpNumConnections"="00FFFFFE"
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL\"CheckedValue"="0"
（6）退出注册表编辑器。

注意：如果该风险在HKEY_CURRENT_USER下面创建或修改了注册表子项或注册表项，则其可能会为受感染的计算机上的每个用户创建这些项。

若要删除或恢复所有注册表子项或注册表项，请使用各个用户帐户登录，然后检查上面所列的所有HKEY_CURRENT_USER项。