大东话安全之“婆”——Allaple

作者: 大东

来源: 中科院之声

发布日期: 2018-03-27 07:30:00

本文详细介绍了网络病毒“Allaple”(中文名“阿拉婆”)的特性及其传播和感染方式,提供了针对该病毒的防御建议,并讨论了网络安全的重要性及应对策略。

编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。

一、谶曰

植物大战僵尸:催眠蘑菇会让僵尸转而为你而战。东哥:“阿拉婆”会让 html 文件为你运行病毒副本。小白:就是删!

二、病毒通缉令

小白:又来一朵“食人花”!我记得上次那朵是……是是是啥来着?大东:你说 Sality?小白:啊……好像是吧……大东:那张牌的“食人花”长着蜗牛眼睛,今天这朵花的眼睛长嘴里嘞。今天这朵“花”叫“Allaple”,该家族是一种多线程的多态感染型的网络蠕虫,能够传播至其他连接了本地网络的计算机汇总并对特定的远程网站进行拒绝服务攻击。它利用网络共享进行传播,其中文名称为“阿拉婆”。

三、狡诈不减当年的“婆”

大东:你可别小看“阿拉婆”。身为多态感染性病毒,“阿拉婆”比一般病毒的破坏力更大,且变种众多,主要感染 Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7 操作系统上的 *.htm 或 *.html 文件。用户的电脑中毒后,会出现系统运行缓慢,网络拥堵,重要资料丢失等现象。

仅 2007 年 1 月 1 日至 6 月 30 日期间,分布式蜜网捕获次数前十名的代码中,两种“阿拉婆”变种光荣登榜。

四、真假系统服务大东:这个“阿拉婆”进入受害电脑后,首先获取自身路径名,找到最末位的字符,对比该路径名称是否为目录。如果“阿拉婆”发现此路径不是目录,就去查找程序是否带有参数“-embedding”。

若没有,则继续查找自身路径,并获取系统路径,对比二者来判断自身是否在系统的 system32 目录下。若还不是,则将自身复制为 \system32\urdvxc.exe。小白:噢我知道了,绕了一大圈什么的都不重要,“阿拉婆”就是想要进入系统目录~ 大东:这还没完呢。

完成以上步骤,病毒运行复制后的程序,连接服务控制管理器,将自己添加成名为“MSWindows”的服务项,显示名称是"Network Windows Service",对应的注册表是:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows,名字叫:ImagePath,数值是:"C:\WINDOWS\system32\urdvxc.exe" /service。

五、删到地老天荒小白:这可咋对付呀?大东:首先,当然是立即停止计算机上显示名为"Network Windows Service"的服务项,删除病毒生成注册表项,还要删除那个万恶之源 urdvxc.exe 文件。小白:这就可以了?大东:当然没有,最好全盘搜索大小约 58K 的文件,删除文件名随机的可疑病毒副本。

还有一点,编辑所有 htm/html 文件,把 <html> 标签下的有害代码挨个儿删除了。小白:长啥样才叫有害代码呀?大东:举个例子,<OBJECT type="application/x-oleobject" CLASSID="CLSID:65B036B9-6757-5345-BA93-0E898D4940CC"></OBJECT>,跟它长得像的就是有害代码。

六、小白内心说

大东:咱们小白听明白了么?小白:嗯!看完大东东的演示清晰多了~ 不过这个阿拉婆的目标不只是咱们这些“贫困”的小用户吧?大东:当然,任何存在此类漏洞的企业、政府、高校的主机都有可能受到攻击。小白:那怎么办?!现在到处是互联网+,衣食住行都离不开互联网,我可不想家里摄像头被入侵啊啊~~ 大东:你这个问题很棘手。伴随着互联网的快速发展,网络安全问题愈发重要。

木马和僵尸网络、移动互联网恶意程序等网络安全事件使得基础网络和关键基础设施面临着较大的安全风险。因此,如何有效应对和预防网络安全威胁至关重要。小白:大东东有何对策?大东:我的答案是 IS——Inside Solution。这是一种嵌入式解决方案,能根据需求提供定制化、持续性、正向输出的解决方案,以及多维度、多角度、细粒度服务保障以及网安新威胁的应急预警和防护方案。小白:定制化?

大东:以往的威胁应急预警和防护的侧重点往往缺乏系统性,导致事故发生了才提出具体策略,而 IS 针对这种现状提出了强化预警方案,成为网络安全的贴身护卫,实时感知,定点侦测,合理预判。小白:厉害了!大东东给我也定制一个啊~~

七、话说漫威大东:X-23——这个名字怎么样?小白:听起来像是机器人编号。大东:X-23 全名是 Laura Kinney,她是一个异变人。小白:有啥超能力?

大东:她的异变能力和狼人 Wolverine 一样,因为她本来就是 Wolverine 复制出来的,不同之处在于 X-23 手上只会弹出两块刀片,另一块则从脚弹出。一样拥有快速的回复能力,有极高的体能、速度、力量和反应,如今,她还拥有病毒传染的能力,她变异成一种多线程的多态感染型的网络蠕虫,能够传播至其他连接了本地网络的计算机汇总并对特定的远程网站进行拒绝服务攻击,重新化名为“阿拉婆”。

UUID: 1f0b8aa9-ab5d-4f21-899d-2b0dd041042e

原始文件名: /home/andie/dev/tudou/annot/AI语料库-20240917-V2/AI语料库/中科院之声公众号-pdf2txt/2018/中科院之声_2018-03-27_大东话安全之“婆”——Allaple.txt

是否为广告: 否

处理费用: 0.0058 元

首页 > 2024年 > 09月 > 大东话安全之“婆”——Allaple