大東話安全之「婆」——Allaple

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，以《安天威脅通緝令2016撲克牌》為線索，一張撲克牌對應一個網路病毒，講述54個不同的網路病毒和網路安全故事，以及如何進行針對性防禦的建議。

一、讖曰

植物大戰殭屍：催眠蘑菇會讓殭屍轉而為你而戰。

東哥：「阿拉婆」會讓 html 文件為你運行病毒副本。

小白：就是刪！

二、病毒通緝令

小白：又來一朵「食人花」！我記得上次那朵是……是是是啥來著？

大東：你說 Sality？

小白：啊……好像是吧……

大東：那張牌的「食人花」長著蝸牛眼睛，今天這朵花的眼睛長嘴裡嘞。今天這朵「花」叫「Allaple」，該家族是一種多線程的多態感染型的網路蠕蟲，能夠傳播至其他連接了本地網路的計算機匯總並對特定的遠程網站進行拒絕服務攻擊。它利用網路共享進行傳播，其中文名稱為「阿拉婆」。

三、狡詐不減當年的「婆」

大東：你可別小看「阿拉婆」。身為多態感染性病毒，「阿拉婆」比一般病毒的破壞力更大，且變種眾多，主要感染 Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7操作系統上的*.htm或*.html文件。用戶的電腦中毒後，會出現系統運行緩慢，網路擁堵，重要資料丟失等現象。僅2007年1月1日至6月30日期間，分散式蜜網捕獲次數前十名的代碼中，兩種「阿拉婆」變種光榮登榜。

2007年1月1日至6月30日期間，蜜網捕獲次數前十名的惡意代碼樣本

小白：看來「婆婆」身手還利落呢~

四、真假系統服務

大東：這個「阿拉婆」進入受害電腦後，首先獲取自身路徑名，找到最末位的字元，對比該路徑名稱是否為目錄。如果「阿拉婆」發現此路徑不是目錄，就去查找程序是否帶有參數"-embedding"。若沒有，則繼續查找自身路徑，並獲取系統路徑，對比二者來判斷自身是否在系統的system32目錄下。若還不是，則將自身複製為system32urdvxc.exe。

「阿拉婆」將自身複製為system32urdvxc.exe

小白：噢我知道了，繞了一大圈什麼的都不重要，「阿拉婆」就是想要進入系統目錄~

大東：這還沒完呢。完成以上步驟，病毒運行複製後的程序，連接服務控制管理器，將自己添加成名為「MSWindows」的服務項，顯示名稱是"Network Windows Service"，對應的註冊表是：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSWindows，名字叫：ImagePath，數值是："C:WINDOWSsystem32urdvxc.exe" /service。

「阿拉婆」新增服務的信息

小白：大東東慢點兒說，讓我好好看看，以後可別上病毒的當了！

大東：可以看出，這個新增服務載入的程序正是病毒複製在系統目錄下複製的urdvxc.exe，通過這種方式實現urdvxc.exe的開機自啟動。

小白：太狡猾了！

大東：運行後，urdvxc.exe會遍曆本地盤符，查找所有htm/html文件，一旦發現則將生成自身副本，隨機命名後複製到該目錄下，並在htm/html文件中的標籤後插入代碼指向病毒程序。由於病毒能自我變形，副本文件雖大小都是57856位元組，但都長得不一樣。每個htm/html頁面中的CLSID不同，分別對應病毒副本的CLSID，即當用戶打開該htm/html文件時，對應CLSID的病毒副本將被運行。此外，病毒會嘗試通過系統漏洞和系統弱口令傳播給其它計算機，還能發起DoS攻擊。

小白：Dos攻擊？

大東：Denial of Service，一種故意攻擊網路的缺陷或直接通過野蠻手段耗盡被攻擊對象的資源的攻擊行為，目的是讓目標計算機或網路無法提供正常的服務，使目標系統服務系統停止響應甚至崩潰。

Dos攻擊示意圖

小白：跟流量過大導致伺服器宕機一個道理吧~

大東：區別在於，一個是正常訪問伺服器，一個是惡意攻擊。

五、刪到地老天荒

小白：這可咋對付呀？

大東：首先，當然是立即停止計算機上顯示名為"Network Windows Service"的服務項，刪除病毒生成註冊表項，還要刪除那個萬惡之源urdvxc.exe文件。

小白：這就可以了？

大東：當然沒有，最好全盤搜索大小約58K的文件，刪除文件名隨機的可疑病毒副本。還有一點，編輯所有htm/html文件，把標籤下的有害代碼挨個兒刪除了。

小白：長啥樣才叫有害代碼呀？

大東：舉個例子，，跟它長得像的就是有害代碼。

小白：這個老婆婆是個多線程生物！

大東：在專業一點的領域，多線程是指從軟體或者硬體上實現多個線程並發執行的技術。具有多線程能力的計算機因有硬體支持而能夠在同一時間執行多於一個線程，進而提升整體處理性能。具有這種能力的系統包括對稱多處理機、多核心處理器以及晶元級多處理或同時多線程處理器。

多線程「工作」

小白：那多線程的病毒蟲貌似很難對付了。

大東：是的呀！啟動後的多線程病毒建立兩個線程，除了普通線程之外，還有一個內核線程。這個內核線程跟蹤監控自己的普通線程，一旦普通線程被查殺，就會立刻重新啟動再建一個普通線程，因此普通殺毒軟體無法徹底查殺。

小白：好怕！

大東：同時，這個病毒十分有效地利用區域網進行傳播。一旦它進入區域網中的某台機器，就會立刻在「網上鄰居」中搜索共享文件夾。只要搜索到某個可寫共享文件夾，就會生成以被感染機器名開頭的.eml文件，因此最後導致區域網的所有機器都成為病毒郵件的「發送基地」。

六、小白內心說

大東：咱們小白聽明白了么？

小白：嗯！看完大東東的演示清晰多了~不過這個阿拉婆的目標不只是咱們這些「貧困」的小用戶吧？

大東：當然，任何存在此類漏洞的企業、政府、高校的主機都有可能受到攻擊。

小白：那怎麼辦？！現在到處是互聯網+，衣食住行都離不開互聯網，我可不想家裡攝像頭被入侵啊啊~~

大東：你這個問題很棘手。伴隨著互聯網的快速發展，網路安全問題愈發重要。木馬和殭屍網路、移動互聯網惡意程序等網路安全事件使得基礎網路和關鍵基礎設施面臨著較大的安全風險。因此，如何有效應對和預防網路安全威脅至關重要。

小白：大東東有何對策？

大東： 我的答案是IS——Inside Solution。這是一種嵌入式解決方案，能根據需求提供定製化、持續性、正向輸出的解決方案，以及多維度、多角度、細粒度服務保障以及網安新威脅的應急預警和防護方案。

小白：定製化？

大東：以往的威脅應急預警和防護的側重點往往缺乏系統性，導致事故發生了才提出具體策略，而IS針對這種現狀提出了強化預警方案，成為網路安全的貼身護衛，實時感知，定點偵測，合理預判。

小白：厲害了！大東東給我也定製一個啊~~

七、話說漫威

大東：X-23——這個名字怎麼樣？

小白：聽起來像是機器人編號。

大東：X-23全名是Laura Kinney，她是一個異變人。

小白：有啥超能力？

大東：她的異變能力和狼人Wolverine一樣，因為她本來就是Wolverine複製出來的，不同之處在於X-23手上只會彈出兩塊刀片，另一塊則從腳彈出。一樣擁有快速的回復能力，有極高的體能、速度、力量和反應，如今，她還擁有病毒傳染的能力，她變異成一種多線程的多態感染型的網路蠕蟲，能夠傳播至其他連接了本地網路的計算機匯總並對特定的遠程網站進行拒絕服務攻擊，重新化名為「阿拉婆」。

X-23

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！