首要防范病毒列表

bosshoss 2003-08-23 10:23:33
W32.Sobig.F@mm

W32.Welchia.Worm

W32.Dumaru@mm

W32.Blaster.Worm

W32.Mimail.A@mm

JS.Fortnight.C

W32.Mumu.B.Worm

W32.Bugbear.B@mm

BAT.Mumu.A.Worm

W32.HLLW.Fizzer@mm

W32.HLLW.Lovgate.G@mm

W32.Bugbear@mm

W32.ElKern.4926

W32.Klez.H@mm

HTML.Redlof.A

...全文
227 21 打赏 收藏 转发到动态 举报
写回复
用AI写文章
21 条回复
切换为时间正序
请发表友善的回复…
发表回复
clxxj 2003-08-29
  • 打赏
  • 举报
回复
大哥真强....
monkeysu 2003-08-27
  • 打赏
  • 举报
回复
alert tcp any any -> any 139 (msg:"BugBear B Network Worm Propagation"; content:"|0B010600002001000010000000E006002001080000F006000010080000004000001000000002
000004000000000000000400000000000000002008000010000000000000020000000000100000100000
000010000010000000000000100000000000000000000000001008006401000000000000000000000000
0000000000000000000000000000641108000C|"; content:"|555058300000000000E0060000100000|";)

*************EOF*********************

这些签名将在蠕虫通过网路和 SMTP 传播时被触发。 更多关于如何创建自订签名的信息,请参阅 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."

此外,Symantec ManHunt Protocol Anomaly 现在将 W32.Bugbear.B@mm 的后门程序活动侦测为 "SOCKS Malformed Data"。如需将此后门程序活动侦测为W32.Bugbear.B@mm,请使用下列定制规则:

*******************start file********************

alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|p"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|e"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|f"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|s"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|c"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|o"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|k"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|d"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|r"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|h"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|i"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|z"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|y"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|t"; offset: 20; depth: 2; dsize:>21; )
*************EOF*********************






赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


使用 W32.Bugbear.B@mm 杀毒工具
使用杀毒工具是移除病毒的最简便方法。赛门铁克安全响应已经开发出了针对 W32.Bugbear.B@mm 的杀毒工具。

手动杀毒
手动杀毒是使用工具移除病毒的替代方法。

以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
关闭系统还原 (Windows Me/XP)。
更新病毒定义。
将计算机重启到安全模式 (Windows 95/98/Me/2000/XP) 或 VGA 模式 (Windows NT).
执行完整的系统扫描,删除所有探测到的 W32.Bugbear.B@mm文件。
有关如何完成此操作的详细信息,请参阅下列指导。
1. 关闭系统还原(Windows Me 或 XP)
如果使用的是 Windows Me 或 Windows XP, 建议您暂时关闭系统还原。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果一个病毒、蠕虫或特洛伊木马感染了计算机,系统还原也会备份病毒、蠕虫或特洛伊木马。

Windows 不允许包括 防病毒程序在内的外部程序对系统还原进行修改。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其它位置的受感染文件。

并且,即使病毒已经移除,病毒扫描也会侦测到系统还原文件夹中的病毒。

有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
更多信息请参照 Microsoft 知识库文章 "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," 文章 ID: Q263455.

2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。

3. 将计算机重启到安全模式或 VGA 模式
Windows 95/98/Me/200/XP 用户 可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户请重启计算机到 VGA 模式。
4. 确保断开网络连接
如果您的计算机在网络中,或者是与 Internet 保持连接,请先中断与网络及/或与 Internet 的连接。 在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享,或将文件设为只读。有关如何完成此操作的指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹以尽可能地保护网络。

5. 扫描并删除受感染的文件
启动 Symantec 防病毒程序,并确保将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
对系统进行完整扫描。
如果存在经检测感染了 W32.Bugbear.B@mm 的文件,请单击“删除”。

monkeysu 2003-08-27
  • 打赏
  • 举报
回复
上述资料每隔两小时、或在键盘记录文件大于 25000 字节时被发往下列邮箱:
ifrbr@canada.com
sdorad@juno.com
fbnfgh@email.ro
eruir@hotpop.com
ersdes@truthmail.com
eofb2@blazemail.com
ioter5@yook.de
iuery@myrealbox.com
jkfhw@wildemail.com
ds2iahf@kukamail.com
程序終止
蠕虫会尝试终止下列程序:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EOUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
后门例程
蠕虫同时会在埠 1080 开启一个监听埠,方便骇客连接到此埠以便执行下列操作:
刪除文件。
结束程序。
列出程序并将清单传送给骇客。
列出文件并将清单传送给骇客。
复制文件。
开启程序。
将拦截到的键盘输入字符传給骇客 (以加密方式)。如此,输入计算机的资料有泄漏的可能 (密码、登录资料等)。
將系統信息以下列方式传送给骇客:
使用者:<使用者名字>
处理器:<使用的处理器类型>
Windows 版本:<Windows 版本、build 号>
内存信息:<可用的内存等>
本机硬盘及类型 (例如固定式/可移除/RAM 硬盘/CD-ROM/远端裝置) 以及某些个体特征。
列出网络资源和类型,并将其传给骇客。
Symantec Gateway Security
赛门铁克在 2003 年 6 月 6 日通过 LiveUpdate 发布了 Symantec Gateway Security 更新。

Intruder Alert
赛门铁克已经为 NetProwler 3.5x 2003 年 6 月 5 日发布了 Intruder Alert 3.5/3.6 policy,如需详细信息,请单击这里。

Netprowler
赛门铁克在 2003 年 6 月 5 日发布了 NetProwler 3.5.1 的 Security Update 26,可以侦测到 W32.Bugbear.B@mm。如需详细信息,请单击这里。
Symantec ManHunt
要明确侦测到 W32.Bugbear.B@mm,赛门铁克建议 Symantec ManHunt 用戶打开 HYBRID MODE 功能并使用下列定制规则。

注意:每个签名都在一行上,下面签名中的断行是为了 Web 排版的需要。

*******************start file********************

alert tcp any any -> any 25 (msg:"BugBear B SMTP Worm Propagation"; content:"CwEGAAAgAQAAEAAAAOAGACABCAAA8AYAABAIAAAAQAAAEAAAAAIAAAQAAAAA";)

monkeysu 2003-08-27
  • 打赏
  • 举报
回复
W32.Bugbear.B@mm
W32.Bugbear.B@mm 蠕虫是

W32.Bugbear@mm 的一个变形。
群发邮件蠕虫,通过文件共享网络进行传播
多形,还能感染特定清单上的可执行文件
包含键盘记录和预留后门能力
试图中断各种处于活动状态的防病毒或防火墙程序

当阅读或预览感染的邮件时,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行蠕虫。

此外,蠕虫所含例程会特別影响到到金融机构。该功能使得蠕虫能够将机密数据传送到十个电子邮箱的其中之一。这些数据包括缓存中的密码和键盘检视数据。

由于蠕虫未能正确处理网络资源类型,它会在共享打印机上泛滥,导致输出乱码或影响正常的打印工作。
也称为: Win32.Bugbear.B [CA], W32/Bugbear.b@MM [McAfee], PE_BUGBEAR.B [Trend], W32/Bugbear-B [Sophos], I-Worm.Tanatos.b [KAV], W32/Bugbear.B [Panda], Win32/Bugbear.B@mm [RAV]

类型: Virus, Worm
感染长度: 72,192

受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
当 W32.Bugbear@mm 执行时,它会将自己复制到 \Startup 文件夹的 ???.exe。? 代表蠕虫选择的字母。
例如,蠕虫会将自己复制为:

在Windows 95/98/Me下,C:\Windows\Start Menu\Programs\Startup\Cuu.exe
在Windows NT/2000/XP 下,C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe
群发邮件例程
它会在当前的信箱和文件中找寻具有下列扩展名的 email 地址:
Searches for the email addresses in the current Inbox, as well as in the files with the following extensions:
.mmf
.nch
.mbx
.eml
.tbb
.dbx
.ocs
蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器和电子邮件地址:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

接着,蠕虫使用自己的 SMTP 引擎将自身发送到所有找到的电子邮件地址,并在寄件者栏位加以伪装。

蠕虫会回复、转发受感染电脑上现有的邮件,或是建立具有下列 主题的新信息。
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re:
$150 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!
至于附件名,蠕虫会利用 My Document 文件夹下具有下列任一扩展名的文件的名字:
.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp
然后附件会被附以下面的扩展名:
.scr
.pif
.exe
此外,文件名还会含有下列字串之一::
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data
信息的内容类型与文件类型相符,会是下列之一:
text/html
text/plain
application/octet-stream
image/jpeg
image/gif
最后,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行。

本地机和网络文件感染
蠕虫同时会感染本地计算机和网络共用文件夹符合下列文件名的文件。它会直接将自身附加上去,且形态变化多端。
scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe
网络共用文件夹感染
蠕虫会列举所有的网络共享文件夹和计算机并将自身复制到其中。此外,它会试图將自身复制到远端系統的 Windows Startup 文件夾。

不管是计算机还使打印机,通通是它侵害的对象。因此,不可避免的它会尝试将自己列出共享打印机的任务列表中。

键盘检视程序
蠕虫会在 Windows System 文件夹中放置一个随机命名的 .DLL 键盘记录程序文件。该文件大小为 5,632 字节,已侦测为 PWS.Hooker.Trojan。蠕虫会在 Windows 与 Windows System 资料夹中建立其它的加密文件,这些文件都有随机选取的文件名和 .DLL 或 .DAT 的扩展名。这些文件会储存设置信息和键盘记录程序记下的输入。

这些文件夹对系统无害,可以放心删除。

键盘记录文件每隔两小时,或在文件大于 25000 字节时被发往下列邮箱:
WXUudeba@mail.com.fr
bernhardca@111.com
glucarini@email.it
sohailam@brain.com.pk
tiharco@mail.gr
tjtoll@arabia.com
lilmoore2@lycos.com
oktemh@excite.com
tdawn@hawaiicity.com
raytje167@freemail.nl
ernstdor@online.ie
mbednar@emailpinoy.com
marko.aid.001@mail.ee
ellekot@freemail.lt
bleon@personal.ro
jackk@biwemail.com
newhot@mail.az
ioterj@katamail.com
ektsr@ureach.com
wejzc@student.be
rfewr@afreeinternet.com
wqsgh@asheville.com
john3784@catholic.org
iyut@dcemail.com
asgsa@thedoghousemail.com
发送键盘记录文件时,蠕虫首先通过注册键关闭自动拨接以避免在断线时拨号引起怀疑。蠕虫会在文件发送完成后还原原來的设定。

银行域名
W32.Bugbear.B@mm 有特別针对金融机构设计的功能。蠕虫的银行域名名单含有全世界范围的银行域名不下一千。

如果 W32.Bugbear.B@mm 确认本地系統的默认电子邮箱属于某个银行,除了发送键盘记录文件外,蠕虫还会把缓存中的拨号网络密码寄给作者。

arse 2003-08-27
  • 打赏
  • 举报
回复
n你辛苦了
monkeysu 2003-08-27
  • 打赏
  • 举报
回复
W32.Mumu.B.Worm 预期 Trojan.Mumuboy 会将截取的数据记录到文件 Qjinfo.ini。因此,它会等待 2.5 分钟,然后再次以电子邮件形式发送该文件。这次使用内部的 SMTP 客户端引擎。提交的电子邮件通过 smtp.sina.com.cn SMTP 服务器发送。
它具有以下特征:
发件人:reint0.student@sina.com
收件人:sendmail2.student@sina.com
主题:<当前日期>
附件:Qjinfo.ini(包含截取的数据)
通过创建下列值尝试进行自我注册:
"Folder Service"="qjinfo.exe"

位于以下注册表键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

但看似未放置文件 Qjinfo.exe
注意:文件 Qjinfo.exe 已在许多单独的提交中收到。基于以下原因,我们假定 Qjinfo.exe 是 W32.Mumu.B.Worm 的早期版本:
它编译的较早。
它的功能是 W32.Mumu.B.Worm 当前版本的子集。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


使用 W32.Mumu.B.Worm 杀毒工具进行杀毒
Symantec 安全响应中心已经创建了用来杀除 W32.Mumu.B.Worm@mm 的工具。这是消除此威胁的最简便方法。请单击这里下载该工具。

手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。

以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
禁用系统还原(Windows Me/XP)。
找到并终止程序 Mumu.exe 和 Last.exe。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 W32.Mumu.B.Worm、Hacktool.Hacline 或 Trojan.Mumuboy 的文件。
删除添加到注册表的值。

有关每个步骤的详细信息,请阅读以下指导。

1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。

有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原

有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。

2. 找到并终止程序 Mumu.exe 和 Last.exe
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winssk32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
3. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。

4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Mumu.B.Worm@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右窗格中,删除值:
Kernel

Folder Service

退出注册表编辑器。
删除记录文件 qjinfo.ini。
bosshoss 2003-08-27
  • 打赏
  • 举报
回复
W32.Mumu.B.Worm 此病毒说明中有图片,提供网址:
http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.mumu.b.worm.html

W32.Mumu.B.Worm 是一种通过网络共享传播的蠕虫。该蠕虫的主要组件是名为 Mumu.exe 的文件。该蠕虫会在受感染的系统上创建各种文件,包括合法的实用程序和恶意的文件。Symantec 产品将把这些恶意文件检测为 Trojan.Mumuboy 和 Hacktool.Hacline。

也称为: W32/Mumu.b.worm [McAfee], WORM_MUMU.A [Trend], W32/Mumu-C [Sophos], Win32.Mumu.B [CA], Worm.Win32.Muma.c [KAV]

类型: Worm
感染长度: 290,874 bytes (mumu.exe), 30,208 bytes (kavfind.exe), 20,408 bytes (bboy.exe), 36,864 (bboy.dll)

受影响的系统: Windows NT, Windows 2000, Windows XP
未受影响的系统: Macintosh, OS/2, UNIX, Linux
有效载荷:
降低性能: Network copying may cause performance degradation.
分发

端口: 139
共享驱动器: Copies across remotely accessible shares.


W32.Mumu.B.Worm 包括为该蠕虫提供特定功能的各种组件。该蠕虫同步放置和运行这些组件。该蠕虫还解析运行的结果。
执行 W32.Mumu.B.Worm 时,该蠕虫会执行下列操作:

会创建以下两个互斥体之一:
aQjinfo1mutex
aQjinfo2mutex
从它的资源找到并防止以下文件:
%System%\Kavfind.exe(30,208 字节,检测为 Hacktool.Hacline)
%System%\Last.exe(20,480 字节,检测为 Trojan.Mumuboy)
%System%\Psexec.exe(36,352 字节, SysInternals 的合法远程处理启动程序)
%System%\IPcpass.txt(510 字节,Hacktool.Hacline 使用的密码列表)

注意:%System% 是一个变量。蠕虫会找到 System 文件夹,并将自身复制到其中。默认情况下,此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

启动 Last.exe (Trojan.Mumuboy)。
将其自身复制到 %System%\Mumu.exe。
创建以下注册表以标志其存在:
HKEY_LOCAL_MACHINE\SOFTWARE\mumu

同时使用提供的目标 IP 地址启动 Hacktool.Hacline。运行时,Hacktool.Hacline 执行下列操作:

检查是否存在 W32.Mumu.B.Worm 放置的文件 IPCpass.txt。该文件包含词典攻击的名称/密码。如果未找到该文件,则 Hacktool.Hacline 将使用名称和密码的硬代码列表。

尝试通过端口 139/TCP (NetBIOS 会话服务)建立套接字连接,检查目标是否使用 TCP/IP 运行 SMB 服务。

如果端口 139/TCP 可用,Hacktool.Hacline 将尝试使用 \\%target_IP%\IPC$ 建立 Null Session 连接(匿名登录连接)。

注意:%target_IP% 是在提供的目标 IP 地址范围内列举的一个 IP 地址。Hacktool.Hacline 使用目标系统上的 Anonymous Null Session Passwords Exploit 来获得用户列表 (CVE-2000-1200 )。该功能可能派生自 W32.HLLW.Lioten。

一旦建立了 Null Session 连接,Hacktool.Hacline 会列举目标系统上所有用户帐户(所有类型的帐户)。

任何列举的用户帐户都会添加到词典中。

最后,Hacktool.Hacline 启动弱密码词典攻击来建立与共享 \\%target_IP%\Admin$ 的连接。词典中的项目既可用作用户名又可用作密码。有关每个成功建立的连接的详细信息都会记录到 IPCfind.txt 文件中。

注意:Hacktool.Hacline 以重复的登录尝试启动多个线程,这可能造成帐户锁定。

Hacktool.Hacline 一退出,该蠕虫就会检查 IPCfind.txt 文件。对于每个可连接的 SMB 共享,它将尝试使用合法的工具 Net.exe 来建立连接。因此,该蠕虫会尝试将其自身以 \\%target_IP%\admin$\system32\mumu.exe 复制到目标系统。
然后,W32.Mumu.B.Worm 启动远程处理应用程序以启动远程文件 %System%\Mumu.exe。

为 Hacktool.Hacline 指定的 IP 范围取决于本地主机 IP 地址,或会随机生成。该蠕虫还会运行 Netstat.exe 以检查当前以建立的连接。对于每个本地主机有开放连接的“可 ping 接”IP 地址,都会启动 Hacktool.Hacline以查看是否有可破坏的网络资源。

当 W32.Mumu.B.Worm 运行 Trojan.Mumuboy 可执行文件时,它会执行以下操作:
创建互斥体 aQjaashyuhv1_0,确保只有一个实例在运行。
将自身以 %Windir%\Bboy.exe 放置。
创建值:

"Kernel"="%Windir%\bboy.exe"

位于以下注册表键:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

将文件 Bboy.dll(36,864 字节)放入 %System% 文件夹。该文件还会被检测为 Trojan.Mumuboy。
尝试终止以下进程:
pfw.exe
Iparmor.exe
Eghost.exe
PasswordGuard.exe
Dfvsnet.exe
Kvfw.exe
kvapfw.exe
将一个钩子安装到钩连链中以解释任何键击,包括密码、登录详细信息等等。
将截取的数据记录到文件 Qjinfo.ini。
使用另一个线程通过 HTTP 邮件服务器 www.58589.com 将文件 Qjinfo.ini 以电子邮件形式发送出去。此类电子邮件有以下特征:
发件人:babyj@8848.com
收件人:<在 Trojan.Mumuboy 可执行文件中 0x40 上指定的电子邮件地址>(例如 terminal2000@163.com)
BCC: cq@58589.com




bosshoss 2003-08-27
  • 打赏
  • 举报
回复
JS.Fortnight.C
JS.Fortnight.C 是一个放置文件的特洛伊木马,随后该文件会插入 Microsoft Outlook Express 的默认签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在收件人打开电子邮件时尝试进入特定网站的代码。

JS.Fortnight.C 利用使用 IFRAME 标记(通过设置为特洛伊木马创建者的地址的 SRC 字段)的 Microsoft VM 漏洞。在一系列重定向后,编码的 JavaScript 将加载包含漏洞的小程序。在未打补丁的系统上,有各种注册表键和 Web 浏览器设置会被修改。

注意:2003 年 7 月 3 日之前的病毒定义会将某些文件检测为 JS.Fortnight。
也称为: JS/Fortnight@M [McAfee], JS.Fortnight.b [KAV], JS/Fortnight-D [Sophos], JS_FORTNIGHT.D [Trend]

类型: Trojan Horse, Worm
感染长度: varies

受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP
未受影响的系统: Macintosh, OS/2, UNIX, Linux
有效载荷:
大量电子邮件发送: Modify the Outlook Express settings to spread as a link in the default signature.
修改文件: Adds URL redirection to the host's file for many URLs.


执行JS.Fortnight.C 时,会执行下列操作:

创建文件 %Windir\S.htm,该文件上会打开网站上某一页的 HTML 文件。
将 S.htm 插入默认的 Microsoft Outlook Express 签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在邮件打开时尝试打开特定网站的代码。
要实现这一操作,该特洛伊木马会如下修改注册表:
将值:
Default Signature 0

添加到注册表键:
HKEY_CURRENT_USER\Identities\[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures

将值:
file %windir\s.htm
name Signature #1
text ""
type 2

添加到注册表键:
HKEY_CURRENT_USER\Identities\[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures\00000000
在注册表中更改以下 Internet Explorer 设置以将电子邮件收件人指向特洛伊木马创建者的站点:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\SecurityTab
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\AdvancedTab HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

在受害人的 Web 浏览器的收藏夹中创建三个快捷方式:
%Windir%\Favorites\Nude Nurses.url
%Windir%\Favorites\Search You Trust.url
%Windir%\Favorites\Your Favorite Porn Links.url
修改 Windows Host 文件,将许多 URL 都重新定向为特洛伊木马创建者的站点。







赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 JS.Fortnight.C 的文件。
删除添加到注册表的值。

有关每个步骤的详细信息,请阅读以下指导。
1. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。

2. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 JS.Fortnight.C,请单击“删除”。
3. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键并将其删除:
HKEY_CURRENT_USER\Identities\[Default User ID]
\Software\Microsoft\Outlook Express\5.0\signatures

退出注册表编辑器。

bosshoss 2003-08-27
  • 打赏
  • 举报
回复
W32.Mimail.A@mm
W32.Mimail@mm 是通过电子邮件传播的蠕虫。

受感染的电子邮件具有下列特征:

主旨:your account %s
附件:message.zip

注意:%s 是指一个变量字符串。


这个威胁利用了一个已知的安全漏洞。有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫使用 UPX 压缩方式压缩。
版本数字为 50801r,或名 August 1,2003 rev 18 或更大的病毒定义文件能够探测这个威胁。


也称为: WORM_MIMAIL.A [Trend], W32/Mimail@MM [McAfee], Win32.Mimail.A [CA], W32/Mimail-A [Sophos], I-Worm.Mimail [KAV]

类型: Worm
感染长度: approximately 16kb
分发

电子邮件主题: your account %s
附件名称: message.zip


如果执行 W32.Mimail.A@mm,它会进行以下动作:

将自身复制为 %Windir%\Videodrv.exe。
新增下列值:
"VideoDriver"="%Windir%\videodrv.exe"

加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此,当您启动 Windows 时,蠕虫就会执行。
使用它自己的 SMTP 服务器通过电子邮件传播。
受感染的电子邮件具有下列特征:

寄件者:admin@<current domain> (The from address may be spoofed as if to appear its coming from the current domain)
主旨:your account %s
内文:
Hello there,
I would like to inform you about important information regarding your email address.This email address will be expiring. Please read attachment for details.

Best regards,
Administrator

附件:Message.zip

Message.zip 含有档案 Message.htm, 此档案在 Temporary Internet Files 数据夹创建一个叫 Foo.exe 的蠕虫副本,然后将其执行。

有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫在 %Windir% 数据夹中创建另外两个档案。
Zip.tmp:这个是 message.zip (30,079 bytes) 的临时副本。
Exe.tmp:这个是 message.html (29,957 bytes) 的临时副本。






赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


使用 W32.Mimail.A@mm 杀毒工具
赛门铁克安全机制应变中心已经开发了一套工具,可用来移除 W32.Mimail.A@mm。这是移除此威胁最简易的方法。

手动杀毒
除了可以使用杀毒工具外,您还可以手动移除蠕虫。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
关闭「系统还原」(Windows Me/XP)。
更新病毒定义文件。
执行完整的系统扫描,删除所有侦测到的 W32.Mimail.A@mm 档案。
删除新增至注册表里的值。
如需关于这些步骤的详细信息,请阅读下列指示。

1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。

有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被 W32.Mimail.A@mm 感染,请单击“删除”。
4. 从注册表中删除值

注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何为 Windows 注册表进行备份」文件。
按下「开始」,然后按下「执行」。(画面上便会出现「执行」对话框。)
键入 regedit

然后按下「确定」。(「注册表编辑器」会开启。)

跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边窗格中的值:
"VideoDriver"="%Windir%\videodrv.exe"

结束并离开「注册表编辑器」。
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影响的系统: Macintosh, OS/2, UNIX, Linux
CVE 参考: CAN-2002-0980, CAN-2002-0077

ptys 2003-08-26
  • 打赏
  • 举报
回复
谢谢
diablozxq 2003-08-26
  • 打赏
  • 举报
回复
谢谢
monkeysu 2003-08-26
  • 打赏
  • 举报
回复
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


使用 W32.Blaster.Worm 移除工具来移除蠕虫
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。这是消除此威胁最简便的方法,应首先尝试此方法。

手动杀毒
除了使用杀毒工具,还可以手动消除此威胁。以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
还原 Internet 连接。
终止蠕虫进程。
获得最新的病毒定义。
扫描和删除受感染文件。
撤消对注册表所做的更改。
获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞。
有关详细信息,请参阅下列指导:

1. 还原 Internet 连接
在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许您连接到 Internet,而不会关闭计算机。要还原 PC 的 Internet 连接,请执行下列操作:
单击“开始”>“运行”。出现“运行”对话框。
键入:
SERVICES.MSC /S

然后单击“确定”。“服务”窗口出现。
在右窗格中,找到 Remote Procedure Call (RPC) 服务。

--------------------------------------------------------------------------------
警告:还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。
--------------------------------------------------------------------------------

用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
单击“故障恢复”选项卡。
使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
单击“应用”,然后单击“确定”。

--------------------------------------------------------------------------------
警告:杀除蠕虫后,请务必将这些设置更改回原来的值。
--------------------------------------------------------------------------------

2. 结束蠕虫程序
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“处理程序”卷标。
连按两下“影像名称”字段标头以便以英文字母顺序进行排序。
浏览一下清单并寻找 msblast.exe。
如果您找到该档案,单击它并单击“结束处理程序”。
结束“任务管理器”。

3. 更新病毒定义文件
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:

对于较新的计算机用户
运行 LiveUpdate,这是获得病毒定义最简便的方法:针对 W32.Blaster.worm 的病毒定义在 2003 年 8 月 11 日之后即可通过 LiveUpdate 服务器获得。要获得最新的病毒定义,请在您的 Symantec 产品的主用户界面中单击 LiveUpdate 按钮。运行 LiveUpdate 时,请确保只选中“Norton AntiVirus 病毒定义”。可以在稍后获得产品更新。

对于系统管理员和高级用户
使用智能更新程序下载定义:“智能更新程序”病毒定义在美国工作日发布(周一至周五)。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于该威胁的定义,请参考病毒定义(智能更新程序)。

有关获得“智能更新程序”病毒定义的详细指导,请阅读文档:如何使用智能更新程序更新病毒定义文件。。
4. 扫描并删除受感染的档案
启动您的赛门铁克防毒程序,确定已架构为扫描所有档案。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
执行完整系统扫描。
如果侦测到任何受 W32.Blaster.Worm 感染的档案,请单击“删除”。
5. 恢复对注册键所做的变更

--------------------------------------------------------------------------------
警告:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的键。如需详细指示,请阅读“如何备份 Windows 注册表”文件。
--------------------------------------------------------------------------------

单击“开始”,然后单击“执行”。(将出现“运行”对话框。)
键入 regedit,然后单击“确定”。(将打开注册表编辑器。)
跳到这个键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

删除右边窗格中的值:
windows auto update

结束并离开注册表编辑器。
6. 获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞
W32.Blaster.Worm 是一种通过 TCP 端口 135,利用 DCOM RPC 漏洞感染 PC 的蠕虫。W32.Blaster.Worm 还会试图使用您的 PC 对 Microsoft Windows Update Web 服务器 (windowsupdate.com) 执行 DoS 攻击。要修复此漏洞,请从 Microsoft Security Bulletin MS03-026 获得 Microsoft 热修复工具,这点很重要。

bosshoss 2003-08-26
  • 打赏
  • 举报
回复
W32.Blaster.Worm

W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 更多有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。

建议用户通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。

TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发

端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。


如果执行 W32.Blaster.Worm,它会进行以下动作:

建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。

新增下列值:
"windows auto update"="msblast.exe"

加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

因此,当您启动 Windows 时,蠕虫都会执行。

计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。

C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。

然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。

注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅下面相应的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!

缓解 DoS 有效载荷
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。但尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
Symantec Client Security
2003 年 8 月 15 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Blaster.Worm 活动。

Symantec Gateway Security
2003 年 8 月 12 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 的应用程序完全检查防火墙技术可以有效防御这个 Microsoft 安全漏洞,在默认情况下禁止所有上述端口。为获得最高的安全性,第三代应用程序完全检查技术有效禁止了利用 HTTP 信道的 DCOM 通讯通道(tunneling of DCOM traffic over HTTP channels),提供了其它最常见的网络过滤防火墙尚未提供的额外一层防护。
Symantec Host IDS
2003 年 8 月 12 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。

Intruder Alert
2003 年 8 月 12 日,Symantec 发布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。

Symantec Enterprise Firewall
Symantec 完整的应用程序检查防火墙技术可抵御 W32.Blaster.worm,默认情况下会禁止上面列出的所有 TCP 端口。

Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 5 发布了特别针对 W32.Blaster.Worm 的签名以侦测 W32.Blaster.Worm 的更多特征。
Symantec ManHunt 协议异常检测技术可以检测到与 DoS SYN 泛滥攻击相关联的活动。安全响应中心已经为 ManHunt 3.0 创建了自定义的特征,并发布在 Security Update 6 中,用于将此攻击专门检测为 Blaster DDoS 请求。
Enterprise Security Manager
Symantec 安全响应中心于 2003 年 7 月 17 日发布了针对此漏洞的响应策略。






bosshoss 2003-08-26
  • 打赏
  • 举报
回复
2. 更新病毒定义文件
赛门铁克在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件,请单击“删除”。
4. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
按下“开始”,然后按下“运行”。(画面上便会出现“运行”对话框。)
输入 regedit 并按下“确定”。(“注册表编辑器”会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边窗格中的值:
"load32"="%Windir%\load32.exe"

结束并离开“注册表编辑器”。
5. 移除新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)
如果您运行的是 Windows 95/98/Me,请遵循下列步骤:
您所运行的功能会根据操作系统而有所不同:
Windows 95/98:
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。

edit c:\windows\win.ini
(接着会开启 MS-DOS 编辑器。)

注意:如果 Windows 安装在不同位置,请做适当的路径变更。

在文件中的 [windows] 区段,寻找与以下类似的行:
run=%Windir%\dllreg.exe

如果此行存在,请删除 run= 右边的所有文字。完成后,应该如下所示:
run=

按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。

edit c:\windows\system.ini
(接着会开启 MS-DOS 编辑器。)

注意:如果 Windows 安装在不同位置,请做适当的路径变更。

在文件中的 [boot] 区段,寻找与以下类似的行:
shell = explorer.exe %Windir%\vxdmgr32.exe

如果此行存在,请删除 explorer.exe 右边的所有文字。完成后,应该如下所示:
shell = explorer.exe

按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
Windows Me:如果您运行的是 Windows Me,那么 Windows Me 的文件保护处理程序可能已经为您必须编辑的 Win.ini 或 system.ini 档制作了的备份副本。如果备份副本存在,它们会储存在 C:\Windows\Recent 文件夹中。赛门铁克建议您在继续进行本节步骤之前,先删除此备份文件。若要完成此项操作:
启动“Windows 文件管理器”。
浏览并选取 C:\Windows\Recent 文件夹。
在右边窗格中,选取 Win.ini 并加以删除。当您重新启动计算机后,会重新产生此 Win.ini 文件。
在右边窗格中,选取 System.ini 档并加以删除。当您重新启动计算机后,会重新产生此 System.ini 文件。

bosshoss 2003-08-26
  • 打赏
  • 举报
回复
W32.Dumaru@mm

W32.Dumaru@mm 是一种会寄发大量邮件的蠕虫,它会将 IRC 特洛伊木马程序安装在受感染的计算机上。此蠕虫会从某种文件类型收集电子邮件地址,然后使用其自身的 SMTP 引擎让自己随电子邮件寄送出去。


受感染的电子邮件具有下列特征:

发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe

此威胁是以 Microsoft C++ 程序语言撰写,并以 UPX 压缩而成。

赛门铁克安全响应中心已经创建了用来杀除 W32.Dumaru@mm 的工具。单击此处可获取该工具。


也称为: PE_DUMARU.A [Trend], Win32.Dumaru [CA], W32/Dumaru@MM [McAfee], W32/Dumaru-A [Sophos], I-Worm.Dumaru [KAV]

类型: Worm
感染长度: 9,216



受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX

有效载荷: 将 IRC 特洛伊木马程序安装在受感染的计算机上。
大量电子邮件发送: 将自己寄给在 .htm、.wab、.html、.dbx、.tbb、.abd 文件中找到的所有电子邮件地址。
修改文件: win.ini, system.ini
分发

电子邮件主题: Use this patch immediately !
附件名称: patch.exe
附件大小: 9,216


如果运行 W32.Dumaru@mm,它会进行以下动作:

将自身复制为下列文件:
%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe

注意:
此处的 %windir% 是变量,蠕虫会自行找到 Windows 安装数据夹 (预设为 C:\Windows 或 C:\Winnt) 并将自己复制过去。
%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
建立 %Windir%\windrv.exe 文件 (8,192 字节),为 IRC 特洛伊木马程序。一旦运行,它会连接至预先定义的IRC 服务器,然后加入特定的频道以听从蠕虫撰写者的指令。

建立 %Windir%\winload.log 日志文件。此蠕虫会用它来储存偷到的电子邮件地址。
注意:此日志文件本身并不是病毒,也无法被赛门铁克的防毒产品所侦测。若您的系统遭受此蠕虫的感染,您必须手动删除它。

新增下列值:
"load32" = "%Windir%\load32.exe"

至注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便当您启动 Windows 时蠕虫能够自动运行。

修改 win.ini 檔中的 windows 区段 (仅适用于 Windows 95/98/Me):
[windows]
run=%Windir%\dllreg.exe

修改 system.ini 檔中的 boot 区段 (仅适用于 Windows 95/98/Me):
[boot]
shell=explorer.exe %System%\vxdmgr32.exe

在具有下列扩展名的文件里找到电子邮件地址:
.htm
.wab
.html
.dbx
.tbb
.abd
使用自身的 SMTP 引擎让自己随电子邮件寄送出去。
受感染的电子邮件具有下列特征:
发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe

Symantec Gateway Security
2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。

Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。

Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Dumaru_Worm Policy。

Symantec ManHunt
发布了 Security Update 7 以提供针对 W32.Dumaru@mm 的签名。

Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。

Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。






赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


使用 W32.Dumaru@mm 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Dumaru@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。

手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
运行完整的系统扫描,删除所有侦测到的 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件。
删除新增至注册表里的值。
移除蠕虫新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)。
如需关于这些步骤的详细信息,请阅读下列指示。

1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。

有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。

KillAllError 2003-08-26
  • 打赏
  • 举报
回复
yun
bosshoss 2003-08-24
  • 打赏
  • 举报
回复
使用 W32.Welchia.Worm 杀毒工具杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。这是消除此威胁的最简便方法。单击这里获取该工具。

手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
重新启动计算机或者结束蠕虫程序。
运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。
删除 Svchost.exe。
如需关于这些步骤的详细信息,请阅读下列指示。

1. 禁用系统还原 (Windows XP)
如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。

Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。

同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。

有关如何禁用系统还原功能的指导,请参阅 如何禁用或启用 Windows Me 系统还原。
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。

2. 更新病毒定义文件
赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。

Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Dllhost.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

删除子键:
RpcPatch

RpcTftpd

退出注册表编辑器。
6. 删除 Svchost.exe 文件
浏览至 %System%\Wins 数据夹,然后删除 Svchost.exe 文件。

bosshoss 2003-08-24
  • 打赏
  • 举报
回复
W32.Welchia.Worm

W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:

使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。
使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。
W32.Welchia.Worm 运行时会运行下列动作:
此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
此蠕虫也会试图移除 W32.Blaster.Worm。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。

也称为: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [KAV]

类型: Worm
感染长度: 10,240 bytes

受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX
CVE 参考: CAN-2003-0109, CAN-2003-0352

有效载荷:
删除文件: 删除 msblast.exe。
造成系统不稳定: 由于 RPC 服务当机,故易受威胁的Windows 2000 机器会遭遇系统不稳。
危及安全设置: 在所有受感染的机器上安装 TFTP 服务器。
分发

端口: TCP 135(RPC DCOM), TCP 80(WebDav)


当 W32.Welchia.Worm 运行时,它会运行下列动作:

将自身复制到:%System%\Wins\Dllhost.exe
注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。

复制 %System%\Dllcache\Tftpd.exe 文件成为 %System%\Wins\svchost.exe 文件。
注意:Svchost.exe 是一种合法程序并非恶意程序,因此,赛门铁克防毒产品无法侦测到它。

将子键
RpcPatch

RpcTftpd

加入注册键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

建立下列服务:
服务名称:RpcTftpd
服务显示名称:网络联机共享
服务二进制文件:%System%\wins\svchost.exe

此服务将设定为手动启动。
服务名称:RpcPatch
服务显示名称:WINS Client
服务二进制文件:%System%\wins\dllhost.exe

此服务将设定为自动启动。

结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\msblast.exe 文件。

此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。

此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。

一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。

在受入侵的主机上建立一个远程 shell,然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。

在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。

检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。

一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。

检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。
Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。

Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Gateway Security
2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 完整的应用程序检查防火墙技术可以对此 Microsoft 漏洞提供保护,默认情况下禁止上面列出的所有 TCP 端口。为了最大程度地保证安全,第三代完整的应用程序检查技术会智能地禁止通过 HTTP 信道进行的 DCOM 通信,从而提供大多数普通网络过滤防火墙尚不具备的额外保护层。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。

Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 7 发布了特别针对 W32.Welchia.Worm 的签名以侦测 W32.Welchia.Worm 的更多特征。







赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


bosshoss 2003-08-24
  • 打赏
  • 举报
回复
没问题,我一个一个来!

W32.Sobig.F@mm

是具有网络意识的群发邮件蠕虫,它将自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址:

.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt
电子邮件例程详细信息
所发送的电子邮件具有下列特征:

发件人:虚假地址(即“发件人”字段中的发件人极有可能不是真正的发件人)。蠕虫可能会将地址 admin@internet.com 作为发件人。
主题:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
正文:
See the attached file for details
Please see the attached file for details.
附件:
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
注意:蠕虫将在 2003 年 9 月 10 日停止活动,因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。
执行 W32.Sobig.F@mm 时,该蠕虫会执行下列操作:

将自身复制为 %Windir%\winppr32.exe。
注意:%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。

创建下列文件:
%Windir%\winsst32.dat

将值:
"TrayX"="%Windir%\winppr32.exe /sinc"

添加到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这样蠕虫便可在 Windows 启动时运行。

试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。
Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。

该功能也可被蠕虫用于自我更新。 在合适的时机,Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器,蠕虫在拿到一个 URL 后用它找到特洛伊木马程序,并将其下载到本地计算机后执行。

对于 Sobig.F,这个合适的时机是指:
格林威治时间(格林威治时间加 8 小时换算成北京时间)的星期一或星期五
格林威治时间的晚 7 点到 晚 11:59:59
Sobig.F 通过联系几台服务器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网络时间协议) 以查知格林威治时间。

蠕虫向主服务器的 8998/udp 埠发送探测包,主服务器随后发还一个 URL,蠕虫就到这个 URL 下载特洛伊木马程序。

Sobit.E 还会打开下列埠:
995/udp
996/udp
997/udp
998/udp
999/udp
并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析,在收到到具有某特定签名的数据包后,蠕虫的主服务器清单会被更新。

建议网络管理员执行下面的操作:
停止 99x/udp 埠的入站通讯。
停止 8898/udp 埠的出站通讯。
监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。







赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


使用 W32.Sobig.F 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。

手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。

以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

注意:如果您在网络上或一直保持与 Internet 的连接,请断开计算机与网络或 Internet 的连接。在重新连接到网络之前,请从网络中的所有计算机中消除此威胁。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。有关指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹尽可能的保护网络。

重要信息:请不要跳过此步骤。尝试杀除此蠕虫之前,请断开网络连接。。
禁用系统还原(Windows Me/XP)。
更新病毒定义。
执行下列操作之一:
Windows 95/98/Me:以安全模式重新启动计算机。
Windows NT/2000/XP:终止特洛伊木马进程。
运行完整的系统扫描,并删除所有被检测为 W32.Sobig.F@mm 的文件。
删除添加到注册表的值。

有关每个步骤的详细信息,请阅读以下指导。

1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。

有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。

3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。

Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winppr32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Sobig.F@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右窗格中,删除值:
"TrayX"="%Windir%\winppr32.exe /sinc"

退出注册表编辑器。
sunmc 2003-08-24
  • 打赏
  • 举报
回复
能否提供一下特征,怎样会感染,怎样防范,谢了。
加载更多回复(1)
计算机网络安全和计算机病毒防范措施全文共7页,当前为第1页。计算机网络安全和计算机病毒防范措施全文共7页,当前为第1页。 计算机网络安全和计算机病毒防范措施全文共7页,当前为第1页。 计算机网络安全和计算机病毒防范措施全文共7页,当前为第1页。 计算机网络安全和计算机病毒防范措施 计算机网络安全和计算机病毒防范措施全文共7页,当前为第2页。计算机网络安全和计算机病毒防范措施全文共7页,当前为第2页。 计算机网络安全和计算机病毒防范措施全文共7页,当前为第2页。 计算机网络安全和计算机病毒防范措施全文共7页,当前为第2页。 郑志凌 摘 要 计算机网络安全问题以及计算机病毒对计算机的威胁已经成为了当前计算机发展中迫切需要解决的问题。本文结合计算机当前发展的实际,分析了计算机的特点,以及影响计算机安全的相关因素,并提出了一些浅薄的解决策略。以期为我国的计算机技术发展奉献绵薄之力。 【关键词】计算机技术 网络安全 计算机病毒 计算机技术以及网路技术在世界各个范围内的使用就像一把双刃剑,既实现了地区之间的即时交流,但是同样计算机的安全问题也日益威胁着人们正常的互联网活动。计算机病毒的出现与入侵,严重的影响了人们在互联网交往过程中的文件传递、电子邮件发送活动的展开。而计算机病毒的传播速度快、破坏力大等特点也严重的威胁了计算机的安全。如何采取有效的措施防范这些计算机病毒的入侵,成为了提升计算机安全性的首要问题。同时也是保证互联网中正常的进行互联网活动的重要保障。本文详细的分析了计算机的相关知识,以及当前影响计算机的相关因素,并针对这些存在的因素提出具体的解决措施,以推动我国互联网技术的发展。 1 概述 1.1 计算机安全 一般来说计算机的安全主要包含了计算机硬件安全、计算机软件安全、计算机数据资料安全以及计算机运行安全四个方面的内容。从总体上对计算机安全的意义进行概括,即采用相关的技术管理措施与安全防护措施对相关数据资料进行管理与保护,以防止计算机内部的电脑软件、电脑硬件以及数据资料被存储、调取、损坏以及篡改。影响计算机安全的因素有很多,但是总的概括来说主要有自然原因、机身原因、技术操作以及计算机病毒威胁四个方面的原因,其中计算机病毒对计算机带来的威胁又是最为严重的。一旦计算机病毒入侵到计算机当中,影响了计算机的正常运转,甚至会给计算机带来致命性的伤害。 1.2 计算机病毒 计算机病毒简单来说就是一种经过专门编制并拥有再生能力的计算及程序。其严重的威胁了计算机的系统安全,阻碍了计算机系统的正常运转。计算机病毒可以入侵到计算机系统当中,并对计算机的正常运转起到阻碍和干扰的作用。之所以称之为计算机病毒,主要是因为计算机病毒的传染性与医学中病毒的传染性十分相似。 计算机网络安全和计算机病毒防范措施全文共7页,当前为第3页。计算机网络安全和计算机病毒防范措施全文共7页,当前为第3页。对于计算机病毒来说,其产生与传播都不能离开人为操作。如常见的蠕虫病毒Worm,该病毒的特性就在于能够通过网络、系统漏洞进行传播,且对于大部分的蠕虫病毒来说,能够对外发送带毒邮件,阻碍网络的正常运转。其常见表现有冲击波,带毒邮件如小邮差等。但是对蠕虫病毒对计算机的危害进行衡量,其危害并不算大。一般情况下,计算机在遭受较大的病毒危害时往往会出现计算机内部文件损害、文件资料丢失等情况,严重时甚至会引起计算机系统的崩溃,严重的影响了计算机系统的安全和稳定运行。如果这些计算机病毒入侵的是政府行政部门、事业单位、银行业内部的计算机系统,其对经济以及社会稳定带来的打击是毁灭性的。 计算机网络安全和计算机病毒防范措施全文共7页,当前为第3页。 计算机网络安全和计算机病毒防范措施全文共7页,当前为第3页。 不法分子在制造计算机病毒时,会将病毒程序隐藏在相关的软件当中,用户在使用这些软件的过程中就会刺激这些程序的运转,威胁到计算机的安全。而同时,这些带病毒的软件或程序在互联网用户之间的传播也扩大了其使用范围,进而引起大规模范围内的计算机安全问题。同样,这些存在与计算机内部的病毒也从侧面反应了计算机系统以及计算机内部信息两者的非坚强性。而如何保障计算机的安全,降低病毒对计算机软件以及计算机内部信息受到病毒的威胁,采用何种有效的技术措施,对于计算机技术的发展,也不失为一个重要的研究方向。 2 计算机病毒的特征 计算机病毒虽然称之为病毒,其传染性与医学上的传染性有着极大的相似之处,但是两者之间还是存在着明显的差别的。计算机病毒是通过计算机以及互联网而传播的,计算机病毒的本质还是一组计算机代码。了解计算机病毒势必要从计算机病毒的特征上入手,可以从以下几个方面把握。 第一,计算机病毒的传播是通过互联网、电子邮件等网络媒介传播的一种程序代码。据不完全统计,当前世界上比较流行的
网络安全与计算机病毒 摘要:从计算机与网络有了连接,就产生了计算机病毒,此时已经是网络发达的时代, 计算机病毒也是层出不穷,研究人员针对计算机病毒做出了完整的定义,并分析了病毒 的种类和存在模式,以方便于防范和诊治。 关键词:计算机病毒 网络 防范 一 计算机病毒 1.1 计算机病毒的定义 美国计算机研究专家科恩博士给出:计算机病毒是一种计算机程序,它通过修改其他程 序把自己的一个副本或演化的副本插入到其他程序中实施感染。 在科恩博士提出的病毒定义基础上,一些研究人员给出了更为精确的病毒定义:计算机 病毒是一种计算机程序,它递归地、明确地复制自己或其演化体。在此定义中,"递归" 反映了一个文件在被病毒感染以后会进一步感染其他文件;"明确"强调了自我复制是病 毒的主要功能。该定义较为抽象,在定义中并没有严格指明病毒的自我复制到底采用什 么样的方式进行,这也使得种类各异的计算机病毒都在该定义的覆盖范围下。 我国在1994年2月18日颁布实施的《条例》中又给出了法律性和权威性的定义:"计算机病 毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使 用,并能自我复制的一组计算机指令或者程序代码。" 1.2 计算机病毒的特性 同时计算机的病毒具有传染性和演化性的特性。计算机病毒的种类众多,要给出一个精 确的病毒定义非常困难。其中伴随型病毒尤为典型。伴随型病毒完全不用修改目标程序 ,而是利用操作系统在执行程序时的一些特性,采用与目标程序同名的方法在系统中进 行破坏。 1. 传染性。计算机的病毒如同生物界的病毒一样,会通过各种渠道从已感染的文件扩散 到未被感染的文件,从已感染的计算机系统扩散到其他未被感染的计算机系统。因 此是否具有传染性被作为判断程序是否是计算机病毒首要条件。 2. 潜伏性。设计精巧的计算机病毒在进入计算机系统后通常会较长时间潜伏,除了伺机 传染之外,不进行任何特征明显的破坏活动,以保证有充裕的时间进行繁殖扩散。 如果一个计算机病毒进入系统后,立刻修改系统分区表信息或是恶意删除系统文件 ,明显的系统异常将会导致计算机用户查杀病毒或者重新安装系统,其结果是病毒 难以广泛扩散,影响面非常有限。 3. 可触发性,与潜伏性对应。病毒被编写时一般不会永远潜伏,而是会在特定的条件下 被激活以完成设定的工作。计算机病毒的内部往往有一个或者多个触发条件,病毒 编写者通过触发条件来控制病毒的感染和破坏活动。被病毒用来作为触发条件的事 件多种多样,可以是某个特定日期或者特定时刻,可以是键盘输入特定的字符组合 ,也可以是病毒内置的计数器达到指定数值,病毒编写者可以根据需要灵活设置病 毒的触发条件。 4. 寄生性。计算机病毒常常寄生于文件或者硬盘的主引导扇区中。以EXE为扩展名的可 执行文件是目前病毒最常寄生的文件类型。病毒寄生在可执行文件中,当执行的文 件运行时,病毒会获得优先运行的机会,并常驻内存,伺机感染其他文件并进行破 坏。寄生于软、硬盘引导扇区中的病毒称为引导型病毒。此类病毒将自身程序代码 占据软、硬盘的引导扇区,而将正常的系统引导记录,以及病毒程序中由于空间限 制或者其他原因不便放在引导扇区中的部分代码存储在软、硬盘的其他空间。 5. 非授权执行性。计算机系统中一个正常程序通常是在用户的请求下执行,操作系统依 据用户的权限为程序分配必要的资源使程序执行。虽然具体的程序执行过程对于用 户是透明的,但是程序的执行需要经过用户授权。 6. 破坏性。病毒在感染主机上的活动完全取决于编写者的设计。研究人员按病毒对计算 机的破坏程度将病毒划分为良性病毒和恶性病毒。良性病毒通常只显示一些文字、 动画、或者播放一段音乐,不对系统的正常运作造成大的影响。恶性病毒会严重影 响系统的使用。常见的操作包括干扰、中断系统的输入、输出,修改系统的配置, 删除系统中的数据和程序,加密磁盘,甚至是格式化磁盘,破坏分区表信息等。病 毒的运行势必占用资源,包括CPU运行时间、内存空间、磁盘存储空间等,这都会 在一定程度上降低系统的性能。 1.3 计算机病毒的分类 1. 按照病毒攻击的操作系统进行分类 (1)针对DOS系统的病毒 (2)针对WINDOWS系统的病毒 (3)针对LINUX和UNIX系统的病毒 (4)针对其他操作系统的病毒 2. 按照病毒的传染对象进行分类 (1)引导性病毒 (2)文件型病毒 (3)复合型病毒 (4)宏病毒 (5)脚本病毒 3. 按照病毒的链接方式分类 (1)源码型病毒 (2)嵌入型病毒 (3)外壳型病毒 (4)操作系统型病毒 4. 根据病毒在内存中运行的连续性划分 (1)非驻留内存型病毒 (2)驻留内存型病毒 5. 根据病毒的传播媒介划分 (1)单机病毒 (2)网络病毒 6. 根据病毒的传播速度划分 (1)传播迅速的
网络安全防范措施全文共3页,当前为第1页。网络安全防范措施全文共3页,当前为第1页。网络安全防范措施 网络安全防范措施全文共3页,当前为第1页。 网络安全防范措施全文共3页,当前为第1页。 1计算机网络安全 所谓的计算机网络安全,如果按照国际标准化组织ISO对其定义来说,主要是指采取一些相应的管理、技术等措施对计算机系统中的硬件、软件以及其他数据资源等进行保护,保证其不被恶意创改、泄露以及破坏,确保计算机系统的正常有序的运行,更好的发挥网络的作用。我们常见的计算机网络安全问题主要是来自于内网、外网和网络管理等方面。 2计算机网络安全存在的主要问题 2.1计算机病毒的危害《中华人民共和国计算机信息系统安全保护条例》对于计算机病毒是这样规定的:指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒是隐蔽性、潜伏性的,而且一旦出现,其传播速度快,传染范围广,破坏性极大。计算机病毒是如今计算机网络安全最为首要的危害源,而利用网络传播病毒的种类也很多,形式也各不一样。譬如我们常见的网络蠕虫、木马、震网、火焰等病毒就是危害较大的一些网络病毒,给网络用户造成了极大的麻烦和破坏。 2.2IP地址被盗用IP地址被盗用主要发生在局域网当中,主要表现为用户的IP地址被占用,致使计算机用户不能正常上网。对于一些被盗用的IP地址,基本上权限都比较高,一旦被盗用,盗用者就会经常通过隐蔽性的身份对于计算机用户实施骚扰以及各种网络破坏,致使用户造成一些重大的损失和破坏,盗用IP地址是对于网络用户合法权益的严重侵害,也会对网络安全造成非常大的威胁。 2.3网络黑客攻击所谓的网络黑客就是一些不法分子利用Internet网络非法的访问、破坏以及攻击网络用户。这种黑客攻击的危害性主要视黑客的动机而定,如果只是出于好奇,窥探网络用户计算机中的隐私和秘密,这对于用户的计算机系统并不会造成多大的损失。如果是出于极大的恶意,对计算机的系统及其数据进行恶意创改,这样对于计算机系统和网络用户的一些涉身利益将会带来重大的损害。有些间谍分子和国外黑客甚至可以通过网络攻击,获取一个国家的军事、政治、经济等等重大的机密,这就会为国家个个人带来巨大的危害。 2.4垃圾邮件泛滥有时候,未经用户同意,会有一些垃圾邮件发送大用户邮箱,造成垃圾邮件的泛滥。这些垃圾邮件会占用计算机用户的个人邮箱空间,占用网络宽带和资源,而且一些不健康的垃圾邮件还会到处泛滥,严重影响了网络环境的良好氛围。 3计算机网络安全的防范策略 3.1正确防范计算机病毒计算机病毒是没有预测性的,它能够以强大的破坏力无孔不入,所以首先必须养成预防计算机病毒的意识。这就需要在计算机上安装一些知名的、全网络安全防范措施全文共3页,当前为第2页。网络安全防范措施全文共3页,当前为第2页。方位的、多层次的、性能高的计算机杀毒软件,我们常见的计算机杀毒软件主要有360安全卫士,卡巴斯基,瑞星杀毒、KV3000,NOD32,金山毒霸……此外,对于安装的杀毒软件还要定期后者不定期的进行更新升级,使其性能更加优越,病毒库得到升级,这样的杀毒功能就会极大的增强。 网络安全防范措施全文共3页,当前为第2页。 网络安全防范措施全文共3页,当前为第2页。 3.2加强防黑客技术黑客攻击的危害性让大家逐渐意识到计算机网络身份认证的重要性,所以对于计算机用户来说,应该定期的对自己的账户或者账户密码进行修改,可以结合相关的权限管理,运用智能卡、智能密码钥匙、生物特征识别认证技术等对自己的网络账户信息进行保护,这样能够在最大范围内防止黑客的攻击。此外,防火墙技术也是防止黑客攻击的较为有效的也是最为直接的方法,它能够通过网络隔离以及限制访问等等方式对网络访问的权限进行必要地控制,譬如360安全卫士、瑞星防火墙软件,超级巡警等都具有很好的防火墙技术。 3.3杜绝垃圾邮件当前的垃圾邮件在网络的肆虐已经成为了计算机网络危害的又一大表现,所以,我们要谨防垃圾邮件影响我们的网络安全,首先就是要有针对性的保护好自己的网络邮箱,尽量不要在网路上随便登记和注册邮箱,最大限度防止垃圾邮件的袭扰。此外,还可以经常使用邮件清理功能,对自己邮箱内的垃圾邮件进行清理。最后,网路中存在一些具有危害性的垃圾邮件,对于这些来历不明的垃圾邮件最好不要打开,一般有些邮件会携带病毒,一旦打开,就会造成不必要的损失和麻烦。 3.4强化计算机安全防范意识要想实现对于计算机网络安全的管理。建议一系列的安全管理机制是极其必要的,这需要相关部门制定相应的岗位职责,实施一些网络安全认证标准,大力提升计算机网络安全的管理机制和管理能力。此外,需要加强计算机网络安全意识的宣传,大力宣传计算机网络安全的重要性,向广大群众分析解读各类网络危害的种类和

9,505

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧