9,506
社区成员
发帖
与我相关
我的任务
分享W32.Sobig.F@mm(http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.sobig.f@mm.html)
W32.Sobig.F@mm 是具有网络意识的群发邮件蠕虫,它将自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址:
.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt
电子邮件例程详细信息
所发送的电子邮件具有下列特征:
发件人:虚假地址(即“发件人”字段中的发件人极有可能不是真正的发件人)。蠕虫可能会将地址 admin@internet.com 作为发件人。
主题:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
正文:
See the attached file for details
Please see the attached file for details.
附件:
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
注意:蠕虫将在 2003 年 9 月 10 日停止活动,因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。
执行 W32.Sobig.F@mm 时,该蠕虫会执行下列操作:
将自身复制为 %Windir%\winppr32.exe。
注意:%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。
创建下列文件:
%Windir%\winsst32.dat
将值:
"TrayX"="%Windir%\winppr32.exe /sinc"
添加到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这样蠕虫便可在 Windows 启动时运行。
试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。
Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。
该功能也可被蠕虫用于自我更新。 在合适的时机,Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器,蠕虫在拿到一个 URL 后用它找到特洛伊木马程序,并将其下载到本地计算机后执行。
对于 Sobig.F,这个合适的时机是指:
格林威治时间(格林威治时间加 8 小时换算成北京时间)的星期一或星期五
格林威治时间的晚 7 点到 晚 11:59:59
Sobig.F 通过联系几台服务器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网络时间协议) 以查知格林威治时间。
蠕虫向主服务器的 8998/udp 埠发送探测包,主服务器随后发还一个 URL,蠕虫就到这个 URL 下载特洛伊木马程序。
Sobit.E 还会打开下列埠:
995/udp
996/udp
997/udp
998/udp
999/udp
并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析,在收到到具有某特定签名的数据包后,蠕虫的主服务器清单会被更新。
建议网络管理员执行下面的操作:
停止 99x/udp 埠的入站通讯。
停止 8898/udp 埠的出站通讯。
监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Sobig.F 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
注意:如果您在网络上或一直保持与 Internet 的连接,请断开计算机与网络或 Internet 的连接。在重新连接到网络之前,请从网络中的所有计算机中消除此威胁。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。有关指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹尽可能的保护网络。
重要信息:请不要跳过此步骤。尝试杀除此蠕虫之前,请断开网络连接。。
禁用系统还原(Windows Me/XP)。
更新病毒定义。
执行下列操作之一:
Windows 95/98/Me:以安全模式重新启动计算机。
Windows NT/2000/XP:终止特洛伊木马进程。
运行完整的系统扫描,并删除所有被检测为 W32.Sobig.F@mm 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winppr32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Sobig.F@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
"TrayX"="%Windir%\winppr32.exe /sinc"
退出注册表编辑器。
.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt
电子邮件例程详细信息
所发送的电子邮件具有下列特征:
发件人:虚假地址(即“发件人”字段中的发件人极有可能不是真正的发件人)。蠕虫可能会将地址 admin@internet.com 作为发件人。
主题:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
正文:
See the attached file for details
Please see the attached file for details.
附件:
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
注意:蠕虫将在 2003 年 9 月 10 日停止活动,因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。
执行 W32.Sobig.F@mm 时,该蠕虫会执行下列操作:
将自身复制为 %Windir%\winppr32.exe。
注意:%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。
创建下列文件:
%Windir%\winsst32.dat
将值:
"TrayX"="%Windir%\winppr32.exe /sinc"
添加到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这样蠕虫便可在 Windows 启动时运行。
试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。
Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。
该功能也可被蠕虫用于自我更新。 在合适的时机,Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器,蠕虫在拿到一个 URL 后用它找到特洛伊木马程序,并将其下载到本地计算机后执行。
对于 Sobig.F,这个合适的时机是指:
格林威治时间(格林威治时间加 8 小时换算成北京时间)的星期一或星期五
格林威治时间的晚 7 点到 晚 11:59:59
Sobig.F 通过联系几台服务器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网络时间协议) 以查知格林威治时间。
蠕虫向主服务器的 8998/udp 埠发送探测包,主服务器随后发还一个 URL,蠕虫就到这个 URL 下载特洛伊木马程序。
Sobit.E 还会打开下列埠:
995/udp
996/udp
997/udp
998/udp
999/udp
并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析,在收到到具有某特定签名的数据包后,蠕虫的主服务器清单会被更新。
建议网络管理员执行下面的操作:
停止 99x/udp 埠的入站通讯。
停止 8898/udp 埠的出站通讯。
监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Sobig.F 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
注意:如果您在网络上或一直保持与 Internet 的连接,请断开计算机与网络或 Internet 的连接。在重新连接到网络之前,请从网络中的所有计算机中消除此威胁。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。有关指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹尽可能的保护网络。
重要信息:请不要跳过此步骤。尝试杀除此蠕虫之前,请断开网络连接。。
禁用系统还原(Windows Me/XP)。
更新病毒定义。
执行下列操作之一:
Windows 95/98/Me:以安全模式重新启动计算机。
Windows NT/2000/XP:终止特洛伊木马进程。
运行完整的系统扫描,并删除所有被检测为 W32.Sobig.F@mm 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winppr32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Sobig.F@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
"TrayX"="%Windir%\winppr32.exe /sinc"
退出注册表编辑器。
...全文
请发表友善的回复…
发表回复
关于golang依赖问题: Get “https://proxy.golang.org/chainmaker.org/chainmaker/common/v2/@v/v2.2.0.mod“: dial