Promiscan (安全工具) - 网络安全评估中心

公司介绍

企业文化

员工心声

加盟安络

MSN骗子病毒

文章来源：

安络科技

发布时间：

2004年10月12日

引言

　　MSN Messenger是微软力推的一款即时通讯软件，因为它与Windows系统的完美结合，用户群不在少数，是全球适用。
　　10月10日，一个传播速度极快的蠕虫病毒正通过QQ和MSN广泛传播，该病毒向线上好友发送“FUNNY.EXE”文件，用户点击后就会中毒。安络科技的技术人员紧密跟踪，对此病毒进行了一些深入的研究

两个以往利用MSN聊天工具来传播病毒真实事例

（一）
　　2002年10月9日下午，金山公司反病毒应急处理中心截获了一例通过MSN聊天工具进行广泛传播的电脑病毒“GFleming”，经证实，这是世界上第一例通过微软即时聊天工具MSN Messager进行大规模传播的电脑病毒。“GFleming”病毒的传播非常的迅速，一旦用户感染该病毒，该蠕虫会首先查看用户是否安装了MSN Messager并且已经登录。若用户已经登录，该蠕虫就会通过MSN Messager的对话窗口向所有联系人名单中的人发送欺骗性的信息:
Hey!! Could you please check out this program for me?　 I made it myself and want people to test it. Its a readme with the program that explains what it does! http://home.no.net/downl0ad/BR2002.exe <-- There you can download it! give me advices on what to upgrade please!!

收到该信息的用户不小心点击这个链接执行了这个蠕虫的话，蠕虫就会继续通过MSN Messager向其他联系人发送同样的信息，引起连锁反应，造成病毒的快速传播。

（二）
　　”Cool Worm”的病毒的欺骗消息是："Go To http://www.masenko-media.net/cool.html NoW !!!"点击这个连接会打开一个带有恶意Javascript程序的网站，他会抢夺受害者的好友名单，并且先每个人发送一个相同的邀请信息。这个信息同时也将地址发送电子邮件到名为mmargae@wanadoo.nl的信箱中。

类似的病毒还有几例，原理相同，这里不再一一枚举。

总结这类病毒的共性

　　一旦在机器上获得控制权，会首先查看用户是否安装了QQ或MSN Messager，发现后，该蠕虫就会通过对话窗口向在线好友发送欺骗性的信息，信息包含一个超级连接，因为在接受窗口中可以直接点击连接，启动IE,IE会和这个服务器连接，下载html页面。这个页面中含有恶意代码，把蠕虫下载到本机并运行，完成了一次传播。然后再以这台机器为基点，向本机所能发现的好友发送同样的欺骗性消息，传播迅速。

　　欺骗信息一般是邀请你去发送过来的网址去看看，如“看看这个，好东西 http://www.xxx.com/cool.html

　　从传播手段上看，病毒传播是一种C/S模式，即每台机器都是从指定的服务器下载，比如GFleming是，http://home.no.net;QQ密码记录器是http://xmc.nease.net;‘Cool Worm‘是http://www.masenko-media.net/.这种方法的局限性是，一旦网站被封闭，病毒也就寿终正寝，不攻自灭了。

本次"烦你"病毒攻击表现

　　在运行时，该蠕虫病毒会在Windows和Windows系统文件夹中生成多个自身拷贝。病毒会在注册表中创建自启动项目，以使自身可在每次系统启动时执行。在Windows98和ME系统中，病毒还会修改SYSTEM.INI文件。病毒会利用MSN向用户的MSN联系人发送自身拷贝。病毒会修改HOSTS文件。病毒在HOSTS文件中添加特定行，以阻止用户访问特定网站。病毒会屏蔽937个主流网站，可能造成Win98崩溃。并且，此病毒会利用MSN、QQ等疯狂发送信息，很有可能借以推广某网站。

主要表现

　　首先，病毒修改注册表以便于其能够在计算机启动时自动运行。然后，病毒会执行两个动作，第一，通过系统中文件的修改使得将大量知名网站的地址均指向某一个IP 地址，引发针对该IP地址的拒绝服务攻击。第二，将病毒体自动转发给MSN上的其他在线好友。

”烦你”病毒思考

　　“烦你”尽管“烦你”（Funny）病毒并没有采用先进的技术，但是却代表了计算机病毒的一个重要发展趋势：即时通信（Instant Message，IM）：MSN、QQ、企业QQ等即时通信软件成为人人必备的通信工具之时，也即将是病毒通过IM渠道泛滥之日。“烦你“病毒是其中的代表。据TrueSecure统计，这类病毒在2003年具有71%的增长幅度。

具体研究分析

一、病毒评估

1．病毒中文名：MSN骗子　
2．病毒英文名：Worm.MSN.funny
3．病毒类型：蠕虫病毒
4．病毒危险等级：★★★★
5．病毒传播途径：QQ/MSN 即时通讯工具
6．病毒依赖系统：Windows 9X/NT/2000/XP

二、病毒的破坏

1．在Windows 2000/XP系统下，病毒会修改系统文件HOSTS，屏蔽937个网站，使用户登陆这些网站时会转向www.**78p.com，造成用户无法正常上网浏览。
2．在Windows 98系统下，病毒会替换系统文件Rundll32.exe，可能造成系统不能关机，进而崩溃。 3．利用MSN、QQ疯狂发送广告信息，诱骗用户登陆www.**78p.com网站。　　
4．向MSN、QQ好友发送“FUNNY.EXE”文件，传播自身。

三、技术分析

1．该病毒使用Visual Basic语言编写，用ASPack2.12加过壳。
2．运行后，病毒会把自己复制到WINDOWS目录下，病毒文件名为“Rundll32.exe”，再将自己拷贝几份到系统目录下，文件名分别为IEXPLORER.EXE，explorer.exe。
3．修改注册表实现随机自启动。
4．病毒运行之后，几个进程会同时运行，形成双进程保护，在任务管理器里很难结束。
5．向QQ、MSN好友发送“一家新开的酒吧，晚上聚聚，这里有介绍http://www.**78p.com,记得给我电话”，“朋友，多注意休息啊，可以到这里放松放松哦http://www.**78p.com”，“我们也来俗一把如何，看MM去，http://www.**78p.com，够味！呵呵！”，“日本人在南京大屠杀的铁证!坚决抵制日货 http://www.**78p.com”，“对中国威胁最大的十个国家!列表http://www.**78p.com”，“我见过最漂亮的视频MM (不看可别后悔), http://www.**78p.com”，“《中国农民调查》页页血泪，惊动中央转自网易,http://www.**78p.com”。
6．向MSN、QQ好友发送名为FUNNY.EXE的文件，这就是病毒。
7．如果用户使用WIN 2000/XP系统，病毒会修改HOSTS文件，屏蔽937个主流网站，使用户登陆这些网站时会自动转向http://www.**78p.com。
8．如果用户使用WIN 98系统，病毒会覆盖系统文件Rundll32.exe，可能导致系统异常。如果正在运行则不能正常关机，如果重启的话不能进入桌面，所有操作都不能进行。

四、解决方法

对于Windows 2000/XP，请按照下面步骤进行：

1、在命令提示符中输入下列命令，将蠕虫改名：
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir

2、修改注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe。

3、重启系统
　
4、在命令提示符中输入下列命令，删除蠕虫文件：
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir

5、修改注册表
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项。

6、在命令提示符中输入下列命令，修复hosts文件：
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts
del hosts.tmp

五、修复系统

　　如果已经不恰当地删除了蠕虫，并导致系统无法正常登陆。请按照如下步骤进行：

1、用Windows 2000（或者Windows XP/2003）安装光盘引导系统，在“欢迎使用安装程序”的界面上按“R”键，选择修复。
2、然后按“C”键选择使用故障恢复控制台。
3、键入一个数字，选择某个Windows 安装，通常是“1”。然后输入管理员密码。
4、进入system32目录，输入命令：
del userinit32.exe
copy userinit.exe userinit32.exe
5、重启系统，将上面介绍的清除蠕虫的办法再进行一遍。

趋势研究--msn网络结构

　　P2P，英文Peer-to-Peer的缩写，中译为对等互联或点对点技术。长久以来，人们已经习惯了互联网的(C/S)中心服务模式，就是以服务器为中心，人们向服务器发送请求，然后服务器回应给个人需要的的信息。但网络的特点，应该是以用户为中心，所有的用户都是平等的伙伴。相隔万里的用户可以通过直接互联电脑而共享硬盘上的文件、目录乃至整个硬盘。所有人都可以共享他们认为最有价值的东西，这将使互联网上信息的价值得到极大的提升。同时，用户之间直接交流的方式，使人们对于开放的、自由的互联网的理想变为现实。P2P则实现了这一设想。
　　msn&QQ都是应用了P2P技术，它们之间的区别在于传输协议的不同，msnTCP是传输，QQ是UDP传输。

msn大概的网络结构模型

1．首先，msn的使用人数之多，客户端通过一个负载均衡在多台服务器间调配，分发PC机所隶属的服务器，并在后台服务器记录。
2． msn的消息流程（以用户登陆为例），一名用户登陆后，就会在后台的数据库中寻找其好友所在的服务器，在通过找到的服务器向终端（即好友）发送消息，通知某某已经上线了。这也是msn的广播消息的流程。

针对msn网络结构的攻击与防守

　首先我们聊了解一下msn代表的IM通讯所实现的功能

1．发送消息
2．更改头像
3．群发消息
4．文件传输
5．视频电话
6．玩游戏
7．网页连接
8．文件共享
9．发邮件

msn的可能攻击手段

1．利用msn的广播特性，不断的登陆，更换头像，使得数据库频繁的搜索，服务器间部端的建立连接通信，消耗服务器资源，如果数量够大，能够使服务器拒绝服务。

2． Msn的群发信息，msn的一个群允许15人，群中的一人发送一条信息，将是给15人发信息，如果所有人都发信息，那又会是上升一个数量级，再假设，集合了很多人的群并同时群发消息，可能在强大的服务器也需要休息一下了：）

3．传输大容量文件，通常聊天工具对信息的一次发送字数是有限制的，而对文件却没有限制，通过发送文件，占用系统资源。

4．我们知道，msn是使用TCP传输协议，经典的三次握手规则，不断的建立半连接，是服务器不能处理这些数据，也不能丢弃，霸占资源。

5．发带病毒邮件，用户点开，病毒运行，搜索邮件地址，发送同样的信件到这些email地址，这样能将“好友”范围扩大，也是攻击扩大效果的方法。

msn的可能防护手段

1．服务器监测附件，实现在线杀毒。这种方法显得有点头重脚轻，全球就几台服务器，而PC机却是几亿台，让服务器完成PC机的工作，有点不实际。　

2．服务端进行特征阻塞，这种方法对某种病毒可能有效果，但是对变化的变种病毒却是不能应变对付的，显然很笨拙。

3．消息发送和文件传送分开，某一段时间内只处理消息的传送，不对传输文件处理，明显，降低了msn的服务功能，但是作为一种临时的补救措施也未尝不可。

4．生物预警系统，在服务器上安装一个监视器，如果被检测到某个（某些）IP不断的发送消息或规定时间内不能对其数据进行处理，服务器讲放弃对它服务。

客户端安全建议

　　安全专家同时表示，其实这里还应提到一个反复强调过的概念：社会工程学。社会工程学就是利用人们心理上的麻痹而实施入侵的手段，在邮件病毒、IM病毒中更被发扬光大。“烦你”病毒就是利用人们对好友的信任而轻易得手。所以，用户防范“烦你”病毒以及所有这类病毒就是不要轻易接受、打开通过任何网络途径传输过来的文件，尤其是可执行文件。

　　1．建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

　　2．关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

　　3．经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

　　4．使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

　5．迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

　　6．了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

　　7．最好安装专业的杀毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等、遇到问题要上报，这样才能真正保障计算机的安全。

　8．用户还应该安装个人防火墙软件进行防黑。由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。

更多精华文章