1. 易受感染的系统

    　　Microsoft Windows 2000, Windows NT, Windows ME, Windows XP.

2.蠕虫利用系统漏洞

    　　弱口令，比较典型的是管理员（administrator）口令为空

3.主要危害

　　计算机感染Dvldr32蠕虫后，定期的随机选择两个C类地址进行扫描（TCP 445端口），如果目标机器上存在弱口令账号（如：administrator账号口令为空），蠕虫便会利用该账号将自身远程注入到目标系统中.该蠕虫会在感染的系统上留下可以远程控制的后门（TCP 5800,TCP 5900），并通过互联网聊天协议（IRC，TCP 目标端口6667）与境外的服务器进行通信。

　　该蠕虫的扫描和传播可能造成网络严重拥塞，主要表现为大量 TCP 445端口的扫描、TCP 6667端口的通信。另外，网络流量监测结果表明IP协议字段为 255( IP 头标的第9个字节 ) 的流量增大也与Dvldr32蠕虫的感染有关。

4. 计算机用户的检测手段

　　如果出现以下特征之一，可以认为系统已经被感染：

　　(1)如果你的管理员口令为空或者容易猜测的口令，那么你的计算机系统可能已经被感染了，或者很容易受到感染；

　　(2)登录计算机系统，执行netstat -an命令，如果出现大量对外6667端口的TCP连接，或者正在监听TCP 5800和5900端口，那么你的系统可能被感染了，如下所示：

　　　　C:\>netstat.exe -n
　　　　Active Connections
　　　　Proto  Local Address 　　Foreign Address 　　 State
　　　　TCP    x.x.x.x:1043　　　149.156.91.2:6667　　CLOSE_WAIT
　　　　TCP    x.x.x.x:1045　　　198.65.147.245:6667　CLOSE_WAIT
　　　　……
　　　　TCP    x.x.x.x:4811　　　198.65.147.245:6667　CLOSE_WAIT
　　　　TCP    x.x.x.x:4887　　　149.156.91.2:6667　　CLOSE_WAIT

　　(3)如果系统目录下出现了以下文件，那么你的系统可能被感染了：

　　　　C:\> dir /O:D winnt\system32
　　　　C:\winnt\system32 的目录
　　　　...
　　　　2003-03-07  02:23　　　　745,984 Dvldr32.exe
　　　　2003-03-08  19:53　　　　61,440 PSEXESVC.EXE
　　　　2003-03-08  22:38　　　　684,562 inst.exe
　　　　2003-03-08  22:38　　　　36,352 psexec.exe

　　　　C:\>dir winnt\fonts /O:D
　　　　......
　　　　2002-11-06  17:07　　　　212,992 explorer.exe
　　　　2002-11-06  17:58　　　　29,336 rundll32.exe

　　(4)检查注册表, 如果增加了如下键值，则你的系统已经被感染了：
　　 　　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　　　　 "TaskMan"="C:\\WINNT\\Fonts\\rundll32.exe"
　　　　　 "Explorer"="C:\\WINNT\\Fonts\\explorer.exe"
　　　　　 "messnger"="C:\\WINNT\\system32\\Dvldr32.exe"

5. 计算机用户的控制手段

　　(1)为 administrator 设定安全的口令，检查其他所有用户口令的安全性；

　　(2)终止名为dvldr32.exe 和rundll32.exe 的进程；

　　(3)删除 以下文件(%windir%是windows nt/2000的根目录，比如c:\winnt)：
　　　%windir%\system32\dvldr32.exe
  　　 %windir%\fonts\explorer.exe
　　　%windir%\fonts\omnithread_rt.dll
　　　%windir%\fonts\VNCHooks.dll
   　　%windir%\fonts\rundll32.exe
　　　%windir%\system32\cygwin1.dll
　　　%windir%\system32\ INST.exe

　　(4)清理注册表，删除3(4)中所提到的注册表中的键值

　　(5)重新启动计算机

　　为防止类似事件发生，我们向Windows 用户或系统管理员建议以下最基本的安全措施：

　　(1)为操作系统安装最新的补丁；

　　(2)为所有用户选择安全的、不用易猜测的口令；

　　(3)安装防病毒软件，并及时更新病毒定义码（最好每天一次）。

6. 网络管理员的检测手段

　　如果你管理的网络出现了以下现象，那么网络中可能有计算机系统受感染了

 　　(1)网络性能显著下降；

 　　(2)用流量分析工具（比如Unix平台的tcpdump 、Windows 平台的Sniffer pro）,

　　　　可以看到从网络内部发起的大量目标端口为445、6667的TCP 数据包；

 　　(3)用端口扫描软件（比如Linux 平台的nmap），扫描你所管理的网络，如果有的

　　　　计算机同时打开了TCP 445 、5800、5900端口，则该计算机系统可能被感染了。

7. 网络管理员的控制手段

　　在边界路由器或防火墙上配置访问控制规则，可以控制蠕虫传播的途径，起到保护内部网络、控制被感染系统扩散的目的。

　　例如，可以在cisco 路由器上的配置如下访问控制表:
　   　　　access-list 110 deny tcp any any eq 445
　　　　　! 用于控制蠕虫的扫描和感染；
　　　　　access-list 110 deny tcp any any eq 5800
　　　　　access-list 110 deny tcp any any eq 5900
　　　　　! 用于防止受感染的系统被远程控制
　　　　　access-list 110 deny tcp any any eq 6667
　　　　   ! 用于控制 受感染的系统与聊天服务器的通信
　　　　　access-list 110 deny udp any any eq 1434
　　　　　! 用于控制 Slammer worm
　　　　　access-list 110 deny 255 any any
　　　　　access-list 110 deny 0 any any
　　　　　! 用于控制 IP Protocol 为255 和0 的流量
　　　　　access-list 110 permit ip any any

8.蠕虫传播机理分析

　　中国教育和科研计算机网紧急响应组（CCERT）： 　http://www.ccert.edu.cn

　　哈工大安天CERT 小组:　　　　　　　　　　　　　http://www.antiy.com/home.htm

9. CCERT 技术支持

　　电话：010-62784301

　　传真：010-62785933

EMAIL: report@ccert.edu.cn

地址：清华大学中央主楼210 室　　　邮编　100084