• Bobax清除工具是一个轻型应用程序,可以击退Bobax虫版本的A和C。

    版本(可以利用它的漏洞-看到Microsoft安全公告MS04-011):

    蠕虫来作为一种可执行软件,但其主要功能是包含在一个DLL嵌入EXE。 [执行编写的汇编和/或C,与连接在视觉C++6和密的一个简单的算法;DLL是写在视觉C++7.10和包装UPX的。

    时运行,EXE解自己,得到的功能,它需要从kernel32和user32,滴嵌入式DLL到一个临时文件名称开始'~'的字符,并尝试以注射和运行的DLL在的地址空间的过程中,拥有Shell_TrayWnd窗口(Windows Explorer)使用经典VirtualAllocEx/WriteProcessMemory/CreateRemoteThread方法(这适用于NT版本的Windows);如果失败,它呼吁RegisterServiceProcess隐藏自己的任务经理(on Windows9x) 和装载和运行DLL在其自己地址的空间。 在任何一种情况下,DLL的出口功能"运行"是所谓的参数包含当前的命令线路;这种方法,该路径的EXE知通过的DLL。

    DLL使用互斥所谓的"00:24:03:54A9D"为了避免多重副本本身在运行。 创建一个线程,以检查互联网连接以及复制IP地方机的全球串每5秒钟。

    为了以独特的识别受感染的机器,序列号的硬盘驱动器包含Windows文件夹(或C:驱动)是使用来产生一个8进制数字串。

    所有文件中的临时文件夹,名称开始,'~'删除(包括降DLL);EXE复制到Windows系统上的文件夹在两个文件命名为[5至14随机的字母]的。exe;注册条目HKLMSoftwareMicrosoftWindowsCurrentversionrun[硬盘id]和HKLMSoftwareMicrosoftWindowsCurrentversionrunservices[硬盘id]的创建是为了执行这些文件在每次启动。

    主程序等为连接因特网;它试图访问一个脚本上以下主办:

    -http://chilly[X]。没有知识产权。infob

    -http://kwill[X]。hopto.org

    -http://cheese[X]。dns4biz.org

    -http://butter[X]。dns4biz.org

    -http://[5至12随机的字母]的。dns4biz.org

    其中[X]循环,通过所有进制数字。

    脚本是所谓的"注册";虫报告的硬盘id和版虫(114Bobax的。A)。 答复必须包括硬盘id作为第一个8字;其余的答复中指定一个指挥和参数,命令;以下行为可以执行的,根据该命令:

    -"upd":一个可执行软件下载从指定网址和发起;蜗结束其执行;

    -"可执行软件":一个可执行软件下载从一个指定的URL;虫不会结束它的执行;

    -"scn":感染的其他机。 蜗创建一个HTTP服务器上的一个随机的港口之间的2000年和61999;任何客户,连接是鉴于复制的虫下载(image/gif);这是用来上传的复制蜗杆,以利用的机器。

    IP的感染产生的IP地通过保持第1或2个字节和产生随机的价值观的最后一个字节;128线的创建是为了感染128机(65这些线只保留第1次字节的IP地和修改的其他3;另63保留第2字节的IP地和修改的其他2个)。 蜗第一次尝试连接到TCP port5000的目标IP;它然后将利用SMB包给它的服务在TCP port445. 利用代码将载的副本虫从HTTP服务器"svc.exe"并运行它。

    -蠕虫可以下载一些数据,用于设立一个电子邮件继电器;将数据下载从一个指定的主机的"获得"脚本到一个临时文件名为[crc全URL]_[硬盘id]。tmp;检查数据的完整性使用一个简单的散列函数;一个状态

    -蜗杆也可以报告一些进展信息的"状态"的剧本上的一个指定网站;

    -"spd":报告下列信息以"快速"的剧本上运行的一个指定网站:硬盘id,互联网连接速度(数字节每秒下载时最大的512KB从指定的URL),拉姆大小,总的免费空间上的固定驱动器、操作系统版本,CPU类型和速度,IP,屏幕的决议。

    版C类似的版本,但是除了它的脆弱性,它还企图传染给其他机通过利用DCOM RPC漏洞(见微软安全公告MS03-039)(报文发送到TCP port135).

    它的报告版本117而不是114到的"注册"的文字;它打开了一下网址是:

    -g.msn.com/7MEEN_US/EN/SETUPDL.EXE;

    -ftp.newaol.com/aim/win95/Install_AIM.exe;

    -download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE;

    -download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE;

    -download.yahoo.com/dl/mac/ymsgr_2.5.3-ppc_install.bin中。

    它还试图打开下面的网址除了列出的为:

    -http://[5至12随机的字母]的。no-ip.info中。

  • Bobax हटाने के उपकरण है कि एक हल्के आवेदन कर सकते हैं से लड़ने के Bobax कृमि, संस्करणों की एक और सी

    संस्करण एक (कारनामे LSASS में सुरक्षाछिद्र - देखें Microsoft सुरक्षा बुलेटिन MS04-011):

    कीड़ा के रूप में आता है एक EXE, लेकिन इसकी मुख्य कार्यक्षमता में निहित है एक एम्बेडेड DLL में EXE. EXE कोडांतरक में लिखा गया था और/या सी, के साथ जुड़ा हुआ linker दृश्य C++ में 6 और एन्क्रिप्टेड के साथ एक सरल एल्गोरिथ्म; DLL में लिखा गया था Visual C++ 7.10 और पैक के साथ UPX.

    जब चलाने के लिए, EXE decrypts ही, हो जाता है, कार्य की जरूरत है इसे से kernel32 और user32, बूँदें एम्बेडेड DLL करने के लिए एक अस्थायी फ़ाइल नाम के साथ शुरू करने के साथ एक '~' चरित्र और प्रयास इंजेक्षन करने के लिए और चलाने के लिए DLL में पते की जगह की प्रक्रिया का मालिक है कि Shell_TrayWnd विंडो (Windows Explorer) का उपयोग कर क्लासिक VirtualAllocEx/WriteProcessMemory/CreateRemoteThread विधि (इस पर काम करता है संस्करणों का Windows NT); यदि यह विफल रहता है, यह कॉल RegisterServiceProcess को छिपाने के लिए ही कार्य प्रबंधक से (विंडोज़ 9x) और लोड और चलाता है DLL में अपने स्वयं के पते अंतरिक्ष. या तो मामले में, DLL है निर्यात समारोह "रन" कहा जाता है एक पैरामीटर के साथ युक्त वर्तमान कमांड लाइन; इस तरह, pathname के EXE के द्वारा जाना जाता है DLL.

    DLL का उपयोग करता है एक mutex बुलाया "00:24:03:54A9D" से बचने के लिए कई प्रतियां के ही चल रहा है । एक धागा बनाया जाता है की जाँच करने के लिए इंटरनेट कनेक्शन और कॉपी आईपी के स्थानीय मशीन के लिए एक वैश्विक स्ट्रिंग हर 5 सेकंड.

    आदेश में करने के लिए विशिष्ट पहचान संक्रमित मशीन के सीरियल नंबर हार्डडिस्क ड्राइव युक्त Windows फ़ोल्डर (या C: ड्राइव) का इस्तेमाल किया जाता है उत्पन्न करने के लिए एक 8 स्ट्रिंग हेक्साडेसिमल अंक है ।

    सभी फ़ाइलों में अस्थायी फ़ोल्डर है कि नाम के साथ शुरू '~' नष्ट हो जाती हैं (सहित गिरा दिया DLL); EXE नकल की है करने के लिए Windows सिस्टम फ़ोल्डर में दो फ़ाइलों का नाम [5 से 14 यादृच्छिक पत्र].exe; रजिस्ट्री प्रविष्टियों HKLMSoftwareMicrosoftWindowsCurrentversionrun[hdd आईडी] और HKLMSoftwareMicrosoftWindowsCurrentversionrunservices[hdd आईडी] बनाई गई हैं, चलाने के लिए इन फ़ाइलों में हर स्टार्टअप है ।

    मुख्य दिनचर्या इंतजार कर रहा है के लिए इंटरनेट के लिए एक कनेक्शन; यह प्रयास का उपयोग करने के लिए एक स्क्रिप्ट के निम्न मेजबान:

    - http://chilly[X].कोई आईपी.infob

    - http://kwill[X].hopto.org

    - http://cheese[X].dns4biz.org

    - http://butter[X].dns4biz.org

    - http://[5 से 12 यादृच्छिक पत्र].dns4biz.org

    जहां [X] loops के माध्यम से सभी हेक्साडेसिमल अंक है ।

    स्क्रिप्ट कहा जाता है "reg"; कीड़ा रिपोर्ट hdd आईडी और संस्करण के कृमि (114 के लिए Bobax.एक). जवाब को शामिल करना चाहिए hdd आईडी के रूप में पहले 8 अक्षर; बाकी के उत्तर निर्दिष्ट करता है जो एक आदेश और एक तर्क है कि करने के लिए आदेश; निम्न क्रियाओं में प्रदर्शन किया जा सकता है, पर निर्भर करता है आदेश:

    - "युपीडी": एक EXE से डाउनलोड किया जाता है एक निर्दिष्ट URL और शुरू; कीड़ा समाप्त होता है इसके निष्पादन;

    - "exe": एक EXE से डाउनलोड किया जाता है एक निर्दिष्ट URL; कीड़ा अंत नहीं है, इसके निष्पादन;

    - "scn": संक्रमित अन्य मशीनों. कीड़ा बनाता है एक HTTP सर्वर पर एक यादृच्छिक पोर्ट के बीच 2000 और 61999; किसी भी ग्राहक को जोड़ता है कि दिया जाता है की नकल कीड़ा डाउनलोड करने के लिए (के रूप में छवि/gif); यह प्रयोग किया जाता है करने के लिए अपलोड की नकल कीड़ा के लिए शोषण मशीनों.

    आईपी के संक्रमित करने के लिए उत्पन्न कर रहे हैं से स्थानीय आईपी रखने से पहले 1 या 2 बाइट्स पैदा करने और यादृच्छिक मूल्यों के लिए पिछले बाइट्स; 128 धागे बनाई गई हैं क्रम में को संक्रमित करने के लिए 128 मशीनों (65 के ये धागे रखने के लिए केवल 1 बाइट के स्थानीय आईपी और संशोधित अन्य 3; अन्य 63 रखने के लिए पहले 2 बाइट्स की स्थानीय आईपी और संशोधित अन्य 2). कीड़ा पहला प्रयास करने के लिए एक कनेक्शन TCP पोर्ट 5000 के लक्ष्य आईपी; यह भेजता है तो शोषण SMB पैकेट के लिए LSASS सेवा TCP पोर्ट 445. शोषण कोड की एक प्रतिलिपि डाउनलोड कृमि से HTTP सर्वर "के रूप में svc.exe" और इसे चलाने के लिए.

    - कीड़ा डाउनलोड कर सकते हैं कि कुछ डाटा प्रयोग किया जाता है स्थापित करने के लिए एक ईमेल रिले; डेटा से डाउनलोड किया जाता है एक निर्दिष्ट मेजबान के "मिल" के लिए स्क्रिप्ट एक अस्थायी फ़ाइल नाम [crc के पूर्ण URL]_[hdd आईडी].tmp; डेटा अखंडता के लिए जाँच की है का उपयोग कर एक सरल हैश समारोह के साथ; एक स्थिति

    - कीड़ा रिपोर्ट भी कर सकते हैं कुछ प्रगति के बारे में जानकारी के लिए एक "स्थिति" के लिए स्क्रिप्ट पर एक निर्दिष्ट वेबसाइट के लिए;

    - "spd": रिपोर्ट करने के लिए निम्न जानकारी एक "गति" स्क्रिप्ट पर चल रहे एक निर्दिष्ट वेबसाइट: hdd आईडी, इंटरनेट कनेक्शन की गति (बाइट्स की संख्या प्रति सेकंड डाउनलोड करने के लिए जब एक अधिकतम के 512 KB से एक निर्दिष्ट URL), राम आकार, कुल मुक्त अंतरिक्ष पर फिक्स्ड ड्राइव, ऑपरेटिंग सिस्टम संस्करण, CPU प्रकार और की गति, आईपी, स्क्रीन संकल्प ।

    संस्करण C के लिए समान है संस्करण है, लेकिन इसके अलावा LSASS में सुरक्षाछिद्र, यह भी प्रयास को संक्रमित करने के लिए अन्य मशीनों द्वारा शोषण DCOM RPC भेद्यता (देखें Microsoft सुरक्षा बुलेटिन MS03-039) (पैकेट कर रहे हैं भेजा करने के लिए TCP पोर्ट 135).

    यह रिपोर्ट संस्करण 117 के बजाय 114 के लिए "reg"लिपियों; यह खोलता है निम्न में से एक यूआरएल है:

    - g.msn.com/7MEEN_US/EN/SETUPDL.EXE;

    - ftp.newaol.com/aim/win95/Install_AIM.exe;

    - download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE;

    - download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE;

    - download.yahoo.com/dl/mac/ymsgr_2.5.3-ppc_install.bin है ।

    यह भी कोशिश करता है, को खोलने के लिए निम्न URL के अलावा सूचीबद्ध लोगों के लिए एक:

    - http://[5 से 12 यादृच्छिक पत्र].no-ip.info है ।

  • Bobax Removal Tool is a lightweight application that can fight off the Bobax worm, versions A and C.

    Version A (exploits the LSASS vulnerability - see Microsoft Security Bulletin MS04-011):

    The worm comes as an EXE, but its main functionality is contained in a DLL embedded in the EXE. The EXE was written in Assembler and/or C, linked with the linker in Visual C++ 6 and encrypted with a simple algorithm; the DLL was written in Visual C++ 7.10 and packed with UPX.

    When run, the EXE decrypts itself, gets the functions it needs from kernel32 and user32, drops the embedded DLL to a temporary file with the name starting with a '~' character and attempts to inject and run the DLL in the address space of the process that owns the Shell_TrayWnd window (Windows Explorer) using the classic VirtualAllocEx/WriteProcessMemory/CreateRemoteThread method (this works on NT versions of Windows); if it fails, it calls RegisterServiceProcess to hide itself from the Task Manager (on Windows 9x) and loads and runs the DLL in its own address space. In either case, the DLL's exported function "Run" is called with a parameter containing the current command line; this way, the pathname of the EXE is known by the DLL.

    The DLL uses a mutex called "00:24:03:54A9D" to avoid multiple copies of itself running. A thread is created to check for Internet connection and copy the IP of the local machine to a global string every 5 seconds.

    In order to uniquely identify the infected machine, the serial number of the harddisk drive containing the Windows folder (or the C: drive) is used to generate an 8 hexadecimal digits string.

    All files in the temporary folder that have the name starting with '~' are deleted (including the dropped DLL); the EXE is copied to the Windows System folder in two files named [5 to 14 random letters].exe; the registry entries HKLMSoftwareMicrosoftWindowsCurrentVersionRun[hdd id] and HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices[hdd id] are created to run these files at every startup.

    The main routine waits for a connection to Internet; it attempts to access a script on the following hosts:

    - http://chilly[X].no-ip.infob

    - http://kwill[X].hopto.org

    - http://cheese[X].dns4biz.org

    - http://butter[X].dns4biz.org

    - http://[5 to 12 random letters].dns4biz.org

    where [X] loops through all hexadecimal digits.

    The script is called "reg"; the worm reports the hdd id and the version of the worm (114 for Bobax.A). The reply must include the hdd id as the first 8 characters; the rest of the reply specifies a command and an argument to that command; the following actions can be performed, depending on the command:

    - "upd": An EXE is downloaded from a specified URL and launched; the worm ends its execution;

    - "exe": An EXE is downloaded from a specified URL; the worm doesn't end its execution;

    - "scn": Infects other machines. The worm creates an HTTP server on a random port between 2000 and 61999; any client that connects is given the copy of the worm to download (as image/gif); this is used to upload the copy of the worm to the exploited machines.

    The IP's to infect are generated from the local IP by keeping the first 1 or 2 bytes and generating random values for the last bytes; 128 threads are created in order to infect 128 machines (65 of these threads keep only the 1st byte of the local IP and modify the other 3; the other 63 keep the first 2 bytes of the local IP and modify the other 2). The worm first attempts a connection to TCP port 5000 of the target IP; it then sends the exploit SMB packets to the LSASS service on TCP port 445. The exploit code will download a copy of the worm from the HTTP server as "svc.exe" and run it.

    - the worm can download some data that is used to set up an email relay; the data is downloaded from a specified host's "get" script to a temporary file named [crc of full URL]_[hdd id].tmp; the data is checked for integrity using a simple hash function; a status

    - the worm can also report some progress information to a "status" script on a specified website;

    - "spd": reports the following information to a "speed" script running on a specified website: hdd id, Internet connection speed (number of bytes per second when downloading a maximum of 512 KB from a specified URL), RAM size, total free space on fixed drives, operating system version, CPU type & speed, IP, screen resolution.

    Version C is similar to version A, but besides the LSASS vulnerability, it also attempts to infect other machines by exploiting the DCOM RPC vulnerability (see Microsoft Security Bulletin MS03-039) (packets are sent to TCP port 135).

    It reports version 117 instead of 114 to the "reg"scripts; it opens one of the following URL's:

    - g.msn.com/7MEEN_US/EN/SETUPDL.EXE;

    - ftp.newaol.com/aim/win95/Install_AIM.exe;

    - download.microsoft.com/download/f/a/a/faa796aa-399d-437a-9284-c3536e9f2e6e/Windows2000-KB835732-x86-ENU.EXE;

    - download.microsoft.com/download/6/1/5/615a50e9-a508-4d67-b53c-3a43455761bf/WindowsXP-KB835732-x86-ENU.EXE;

    - download.yahoo.com/dl/mac/ymsgr_2.5.3-ppc_install.bin.

    It also tries to open the following URL besides the ones listed for A:

    - http://[5 to 12 random letters].no-ip.info.