新闻快讯
< >

大东话安全之“婆”——Allaple

大东话安全之“婆”——Allaple

一、谶曰

植物大战僵尸:催眠蘑菇会让僵尸转而为你而战。
东哥:“阿拉婆”会让html文件为你运行病毒副本。
辉哥:就是删!

二、病毒通缉令

大东话安全之“婆”——Allaple-E安全

小白:又又来一朵“食人花”!我记得上次那朵是……是是是啥来着?
大东:你说Sality?
小白:啊……好像是吧……
大东:那张牌的“食人花”长着蜗牛眼睛,今天这朵花的眼睛长嘴里嘞。今天这朵“花”叫“Allaple”,该家族是一种多线程的多态感染型的网络蠕虫,能够传播至其他连接了本地网络的计算机汇总并对特定的远程网站进行拒绝服务攻击。它利用网络共享进行传播,其中文名称为“阿拉婆”。

三、狡诈不减当年的“婆”

大东:小白你可别小看“阿拉婆”。身为多态感染性病毒,“阿拉婆”比一般病毒的破坏力更大,且变种众多,主要感染Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7操作系统上的*.htm或*.html文件。用户的电脑中毒后,会出现系统运行缓慢,网络拥堵,重要资料丢失等现象。仅2007年1月1日至6月30日期间,分布式蜜网捕获次数前十名的代码中,两种“阿拉婆”变种光荣登榜。
2007年1月1日至6月30日期间,蜜网捕获次数前十名的恶意代码样本
小白:看来“婆婆”身手还利落呢~
大东:就不好奇它咋办到的?
小白:正等着大东东开讲呢~

大东话安全之“婆”——Allaple-E安全

真假系统服务

大东:这个“阿拉婆”进入受害电脑后,首先获取自身路径名,找到最末位的字符,对比此路径名称是否为目录。
小白:啊?它找目录干啥子?
大东:别急~我一步一步来跟你讲~如果“阿拉婆”发现此路径不是目录,就去查找程序是否带有参数"-embedding"。若没有,则继续查找自身路径,并获取系统路径,对比二者来判断自身是否在系统的system32目录下。若又不是,则将自身复制为\system32\urdvxc.exe。
“阿拉婆”将自身复制为\system32\urdvxc.exe
小白:噢我知道了,绕了一大圈什么的都不重要,“阿拉婆”就是想要进入系统目录~
大东:这还没完呢。完成以上步骤,病毒运行复制后的程序,连接服务控制管理器,将自己添加成名为“MSWindows”的服务项,显示名称是"Network Windows Service",对应的注册表是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows,名字叫:ImagePath,数值是:"C:\WINDOWS\system32\urdvxc.exe" /service。

大东话安全之“婆”——Allaple-E安全

“阿拉婆”新增服务的信息

小白:大东东慢点儿说,让我好好看看,以后可别上病毒的当了!
大东:可以看出,这个新增服务加载的程序正式病毒复制在系统目录下复制的urdvxc.exe,通过这种方式实现urdvxc.exe的开机自启动。
小白:太狡猾了!
大东:运行后,urdvxc.exe会遍历本地盘符,查找所有htm/html文件,一旦发现则将生成自身副本,随机命名后复制到该目录下,并在htm/html文件中的

大东话安全之“婆”——Allaple-E安全

Dos攻击示意图

小白:跟流量过大导致服务器宕机一个道理吧~
大东:区别在于,一个是正常访问服务器,一个是恶意攻击。

大东话安全之“婆”——Allaple-E安全

删到地老天荒

小白:这可咋对付呀?
大东:首先,当然是立即停止计算机上显示名为"Network Windows Service"的服务项,删除病毒生成注册表项,还要删除那个万恶之源urdvxc.exe文件。
小白:这就可以了?
大东:当然没有,最好全盘搜索大小约58K的文件,删除文件名随机的可疑病毒副本。噢还有一点,编辑所有htm/html文件,把

大东话安全之“婆”——Allaple-E安全

多线程“工作”

小白:那多线程的病毒虫貌似很难对付了。
大东:是的呀!启动后的多线程病毒建立两个线程,除了普通线程之外,还有一个内核线程。这个内核线程跟踪监控自己的普通线程,一旦普通线程被查杀,就会立刻重新启动再建一个普通线程,因此普通杀毒软件无法彻底查杀。
小白:好怕!
大东:同时,这个病毒十分有效地利用局域网进行传播。一旦它进入局域网中的某台机器,就会立刻在“网上邻居”中搜索共享文件夹。只要搜索到某个可写共享文件夹,就会生成以被感染机器名开头的.eml文件,因此最后导致局域网的所有机器都成为病毒邮件的“发送基地”。
小白:这是个啥病毒?
大东:曾经出现过的一种多线程病毒嘛!
小白:嘿嘿嘿

四、小白内心说

大东:咱们小白听明白了么?
小白:嗯!看完大东东的演示清晰多了~不过这个阿拉婆的目标不只是咱们这些“贫困”的小用户吧?
大东:当然,任何存在此类漏洞的企业、政府、高校的主机都有可能收到攻击。
小白:那怎么办?!现在到处是互联网+,衣食住行都离不开互联网,我可不想家里摄像头被入侵啊啊~~
大东:你这个问题很棘手。伴随着互联网的快速发展,网络安全问题愈发重要。木马和僵尸网络、移动互联网恶意程序等网络安全事件使得基础网络和关键基础设施面临着较大的安全风险。因此,如何有效应对和预防网络安全威胁至关重要。
小白:大东东有何对策?
大东: 我的答案是IS——Inside Solution。
小白:这是啥?
大东:它代表嵌入式解决方案,能根据需求提供定制化、持续性、正向输出的解决方案,以及多维度、多角度、细粒度服务保障以及网安新威胁的应急预警和防护方案。
小白:定制化?
大东:以往的威胁应急预警和防护的侧重点往往缺乏系统性,导致事故发生了才提出具体策略,而IS针对这种现状提出了强化预警方案,成为网络安全的贴身护卫,实时感知,定点侦测,合理预判。
小白:厉害了!大东东给我也定制一个啊~~

五、话说漫威

大东:X-23——这个名字怎么样?
小白:听起来像是机器人编号。
大东:X-23全名是Laura Kinney,她是一个异变人.
小白:有啥超能力?
大东:她的异变能力和狼人Wolverine一样,因为她本来就是Wolverine复制出来的,不同之处在于X-23手上只会弹出两块刀片,另一块则从脚弹出。一样拥有快速的回复能力,有极高的体能、速度、力量和反应,如今,她还拥有病毒传染的能力,她变异成一种多线程的多态感染型的网络蠕虫,能够传播至其他连接了本地网络的计算机汇总并对特定的远程网站进行拒绝服务攻击,重新化名为“阿拉婆”。

大东话安全之“婆”——Allaple-E安全

X-23

六、参考文献
【1】CNCERT/CC 2007 年上半年网络安全工作报:告http://www.cert.org.cn/UserFiles/File/CNCERTCC200701.pdf