风暴蠕虫fireworks.exe---Trojan-Downloader.Win32.Cntr.ca

From:[url]http://hi.baidu.com/eqsyssecurity/blog/item/fa810654a5767e5dd1090686.html[/url]

病毒名称： Kaspersky： Trojan-Downloader.Win32.Cntr.ca
                  AntiVir： WORM/Zhelatin.Gen
                  Rising： －
                  NOD32v2： Win32/Nuwar.DC
病毒大小： 115 KB (117,760 字节)
MD5码： 9BF4737E46D2EA6B7EB4EF6605FB269D
病毒类型： 下载者、蠕虫
主要传播方式： 网络挂马
测试平台： WinXP SP3系统 (默认Shell为BBlean) EQSecurity（HIPS） 实机
危害程度： 高

行为分析：

运行后向windows目录创建exe文件

2008-07-08 12:09:38 创建文件
进程路径:F:\Once\fireworks\fireworks.exe
文件路径:C:\windows\msserv.exe
触发规则:所有程序规则->全局文件规则_普通模式->?:\*.exe

添加注册表启动项

2008-07-08 12:41:38 创建注册表值
进程路径:F:\Once\fireworks\fireworks.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:msserv
触发规则:所有程序规则->系统自动运行_普通模式->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

调用生产物

2008-07-08 12:41:57 运行应用程序 操作:允许
进程路径:F:\Once\fireworks\fireworks.exe
文件路径:C:\windows\msserv.exe
触发规则:所有程序规则->Block APP Run->%windir%\*

以命令行调用msserv.exe

2008-07-08 12:42:03 运行应用程序
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\system32\netsh.exe
命令行:firewall set allowedprogram "C:\windows\msserv.exe" enable
触发规则:所有程序规则->System Tool->%windir%\system32\netsh.exe

以命令行调用w32tm.exe

2008-07-08 12:42:11 运行应用程序
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\system32\w32tm.exe
命令行:/config /syncfromflags:manual /manualpeerlist:time.windows.com,time.nist.gov
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-08 12:42:29 运行应用程序
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\system32\w32tm.exe
命令行:/config /update
触发规则:所有程序规则->Block APP Run->%windir%\*

进程间消息操作

2008-07-08 12:42:26 进程间消息操作
进程路径:C:\windows\system32\conime.exe
目标进程:C:\windows\system32\netsh.exe
消息类型:WM_COPYDATA
触发规则:所有程序规则->System Tool->%windir%\system32\netsh.exe

访问SCM

2008-07-08 12:42:34 访问服务管理器
进程路径:C:\windows\system32\w32tm.exe
触发规则:所有程序规则->*

创建文件

2008-07-08 12:43:19 创建文件
进程路径:C:\windows\msserv.exe
文件路径:C:\windows\msserv.config
触发规则:所有程序规则->全局写入设置_普通模式->C:\WINDOWS\*

修改html文件

2008-07-08 12:27:08 修改文件
进程路径:F:\Once\fireworks\fireworks.exe
文件路径:C:\Program Files\BlackBox\plugins\bbpager\BBPager.html
触发规则:所有程序规则->全局写入设置_普通模式->?:\Program Files\*

修改注册表

2008-07-08 12:47:20 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed
触发规则:所有程序规则->*

2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyServer
更改后:SandBoxDelete
更改前:SandBoxDelete
触发规则:所有程序规则->*


2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:ProxyOverride
更改后:SandBoxDelete
更改前:SandBoxDelete
触发规则:所有程序规则->*


2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注册表名称:AutoConfigURL
更改后:SandBoxDelete
更改前:SandBoxDelete
触发规则:所有程序规则->*


2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:所有程序规则->*

2008-07-08 12:50:26 修改注册表内容
进程路径:C:\windows\msserv.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\EQSandBox\HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Internet Settings\Connections
注册表名称:SavedLegacySettings
触发规则:所有程序规则->*

联网行为：

不停的无规律的以UDP协议链接世界各地IP地址   

病毒关键行为：

向windows目录创建exe文件

以命令行调用w32tm.exe msserv.exe

修改IE及系统防火墙相关注册表


防范对策和规则：

阻止向windows目录创建exe文件

防范调用w32tm.exe msserv.exe

防范修改IE及系统防火墙相关注册表

防范修改本地重要文件