9,506
社区成员
发帖
与我相关
我的任务
分享首要防范病毒列表
W32.Sobig.F@mm
W32.Welchia.Worm
W32.Dumaru@mm
W32.Blaster.Worm
W32.Mimail.A@mm
JS.Fortnight.C
W32.Mumu.B.Worm
W32.Bugbear.B@mm
BAT.Mumu.A.Worm
W32.HLLW.Fizzer@mm
W32.HLLW.Lovgate.G@mm
W32.Bugbear@mm
W32.ElKern.4926
W32.Klez.H@mm
HTML.Redlof.A
W32.Welchia.Worm
W32.Dumaru@mm
W32.Blaster.Worm
W32.Mimail.A@mm
JS.Fortnight.C
W32.Mumu.B.Worm
W32.Bugbear.B@mm
BAT.Mumu.A.Worm
W32.HLLW.Fizzer@mm
W32.HLLW.Lovgate.G@mm
W32.Bugbear@mm
W32.ElKern.4926
W32.Klez.H@mm
HTML.Redlof.A
...全文
请发表友善的回复…
发表回复
clxxj 2003-08-29
- 打赏
- 举报
大哥真强....
monkeysu 2003-08-27
- 打赏
- 举报
alert tcp any any -> any 139 (msg:"BugBear B Network Worm Propagation"; content:"|0B010600002001000010000000E006002001080000F006000010080000004000001000000002
000004000000000000000400000000000000002008000010000000000000020000000000100000100000
000010000010000000000000100000000000000000000000001008006401000000000000000000000000
0000000000000000000000000000641108000C|"; content:"|555058300000000000E0060000100000|";)
*************EOF*********************
这些签名将在蠕虫通过网路和 SMTP 传播时被触发。 更多关于如何创建自订签名的信息,请参阅 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."
此外,Symantec ManHunt Protocol Anomaly 现在将 W32.Bugbear.B@mm 的后门程序活动侦测为 "SOCKS Malformed Data"。如需将此后门程序活动侦测为W32.Bugbear.B@mm,请使用下列定制规则:
*******************start file********************
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|p"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|e"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|f"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|s"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|c"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|o"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|k"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|d"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|r"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|h"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|i"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|z"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|y"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|t"; offset: 20; depth: 2; dsize:>21; )
*************EOF*********************
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Bugbear.B@mm 杀毒工具
使用杀毒工具是移除病毒的最简便方法。赛门铁克安全响应已经开发出了针对 W32.Bugbear.B@mm 的杀毒工具。
手动杀毒
手动杀毒是使用工具移除病毒的替代方法。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
关闭系统还原 (Windows Me/XP)。
更新病毒定义。
将计算机重启到安全模式 (Windows 95/98/Me/2000/XP) 或 VGA 模式 (Windows NT).
执行完整的系统扫描,删除所有探测到的 W32.Bugbear.B@mm文件。
有关如何完成此操作的详细信息,请参阅下列指导。
1. 关闭系统还原(Windows Me 或 XP)
如果使用的是 Windows Me 或 Windows XP, 建议您暂时关闭系统还原。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果一个病毒、蠕虫或特洛伊木马感染了计算机,系统还原也会备份病毒、蠕虫或特洛伊木马。
Windows 不允许包括 防病毒程序在内的外部程序对系统还原进行修改。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其它位置的受感染文件。
并且,即使病毒已经移除,病毒扫描也会侦测到系统还原文件夹中的病毒。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
更多信息请参照 Microsoft 知识库文章 "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," 文章 ID: Q263455.
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 将计算机重启到安全模式或 VGA 模式
Windows 95/98/Me/200/XP 用户 可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户请重启计算机到 VGA 模式。
4. 确保断开网络连接
如果您的计算机在网络中,或者是与 Internet 保持连接,请先中断与网络及/或与 Internet 的连接。 在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享,或将文件设为只读。有关如何完成此操作的指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹以尽可能地保护网络。
5. 扫描并删除受感染的文件
启动 Symantec 防病毒程序,并确保将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
对系统进行完整扫描。
如果存在经检测感染了 W32.Bugbear.B@mm 的文件,请单击“删除”。
000004000000000000000400000000000000002008000010000000000000020000000000100000100000
000010000010000000000000100000000000000000000000001008006401000000000000000000000000
0000000000000000000000000000641108000C|"; content:"|555058300000000000E0060000100000|";)
*************EOF*********************
这些签名将在蠕虫通过网路和 SMTP 传播时被触发。 更多关于如何创建自订签名的信息,请参阅 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."
此外,Symantec ManHunt Protocol Anomaly 现在将 W32.Bugbear.B@mm 的后门程序活动侦测为 "SOCKS Malformed Data"。如需将此后门程序活动侦测为W32.Bugbear.B@mm,请使用下列定制规则:
*******************start file********************
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|p"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|e"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|f"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|s"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|c"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|o"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|k"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|d"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|r"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|h"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|i"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|z"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|y"; offset: 20; depth: 2; dsize:>21; )
alert tcp any any -> any 1080 (msg: "BugBear B Backdoor Attack"; content: "|3b|t"; offset: 20; depth: 2; dsize:>21; )
*************EOF*********************
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Bugbear.B@mm 杀毒工具
使用杀毒工具是移除病毒的最简便方法。赛门铁克安全响应已经开发出了针对 W32.Bugbear.B@mm 的杀毒工具。
手动杀毒
手动杀毒是使用工具移除病毒的替代方法。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
关闭系统还原 (Windows Me/XP)。
更新病毒定义。
将计算机重启到安全模式 (Windows 95/98/Me/2000/XP) 或 VGA 模式 (Windows NT).
执行完整的系统扫描,删除所有探测到的 W32.Bugbear.B@mm文件。
有关如何完成此操作的详细信息,请参阅下列指导。
1. 关闭系统还原(Windows Me 或 XP)
如果使用的是 Windows Me 或 Windows XP, 建议您暂时关闭系统还原。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果一个病毒、蠕虫或特洛伊木马感染了计算机,系统还原也会备份病毒、蠕虫或特洛伊木马。
Windows 不允许包括 防病毒程序在内的外部程序对系统还原进行修改。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其它位置的受感染文件。
并且,即使病毒已经移除,病毒扫描也会侦测到系统还原文件夹中的病毒。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
更多信息请参照 Microsoft 知识库文章 "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," 文章 ID: Q263455.
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 将计算机重启到安全模式或 VGA 模式
Windows 95/98/Me/200/XP 用户 可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户请重启计算机到 VGA 模式。
4. 确保断开网络连接
如果您的计算机在网络中,或者是与 Internet 保持连接,请先中断与网络及/或与 Internet 的连接。 在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享,或将文件设为只读。有关如何完成此操作的指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹以尽可能地保护网络。
5. 扫描并删除受感染的文件
启动 Symantec 防病毒程序,并确保将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
对系统进行完整扫描。
如果存在经检测感染了 W32.Bugbear.B@mm 的文件,请单击“删除”。
monkeysu 2003-08-27
- 打赏
- 举报
上述资料每隔两小时、或在键盘记录文件大于 25000 字节时被发往下列邮箱:
ifrbr@canada.com
sdorad@juno.com
fbnfgh@email.ro
eruir@hotpop.com
ersdes@truthmail.com
eofb2@blazemail.com
ioter5@yook.de
iuery@myrealbox.com
jkfhw@wildemail.com
ds2iahf@kukamail.com
程序終止
蠕虫会尝试终止下列程序:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EOUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
后门例程
蠕虫同时会在埠 1080 开启一个监听埠,方便骇客连接到此埠以便执行下列操作:
刪除文件。
结束程序。
列出程序并将清单传送给骇客。
列出文件并将清单传送给骇客。
复制文件。
开启程序。
将拦截到的键盘输入字符传給骇客 (以加密方式)。如此,输入计算机的资料有泄漏的可能 (密码、登录资料等)。
將系統信息以下列方式传送给骇客:
使用者:<使用者名字>
处理器:<使用的处理器类型>
Windows 版本:<Windows 版本、build 号>
内存信息:<可用的内存等>
本机硬盘及类型 (例如固定式/可移除/RAM 硬盘/CD-ROM/远端裝置) 以及某些个体特征。
列出网络资源和类型,并将其传给骇客。
Symantec Gateway Security
赛门铁克在 2003 年 6 月 6 日通过 LiveUpdate 发布了 Symantec Gateway Security 更新。
Intruder Alert
赛门铁克已经为 NetProwler 3.5x 2003 年 6 月 5 日发布了 Intruder Alert 3.5/3.6 policy,如需详细信息,请单击这里。
Netprowler
赛门铁克在 2003 年 6 月 5 日发布了 NetProwler 3.5.1 的 Security Update 26,可以侦测到 W32.Bugbear.B@mm。如需详细信息,请单击这里。
Symantec ManHunt
要明确侦测到 W32.Bugbear.B@mm,赛门铁克建议 Symantec ManHunt 用戶打开 HYBRID MODE 功能并使用下列定制规则。
注意:每个签名都在一行上,下面签名中的断行是为了 Web 排版的需要。
*******************start file********************
alert tcp any any -> any 25 (msg:"BugBear B SMTP Worm Propagation"; content:"CwEGAAAgAQAAEAAAAOAGACABCAAA8AYAABAIAAAAQAAAEAAAAAIAAAQAAAAA";)
ifrbr@canada.com
sdorad@juno.com
fbnfgh@email.ro
eruir@hotpop.com
ersdes@truthmail.com
eofb2@blazemail.com
ioter5@yook.de
iuery@myrealbox.com
jkfhw@wildemail.com
ds2iahf@kukamail.com
程序終止
蠕虫会尝试终止下列程序:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EOUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
后门例程
蠕虫同时会在埠 1080 开启一个监听埠,方便骇客连接到此埠以便执行下列操作:
刪除文件。
结束程序。
列出程序并将清单传送给骇客。
列出文件并将清单传送给骇客。
复制文件。
开启程序。
将拦截到的键盘输入字符传給骇客 (以加密方式)。如此,输入计算机的资料有泄漏的可能 (密码、登录资料等)。
將系統信息以下列方式传送给骇客:
使用者:<使用者名字>
处理器:<使用的处理器类型>
Windows 版本:<Windows 版本、build 号>
内存信息:<可用的内存等>
本机硬盘及类型 (例如固定式/可移除/RAM 硬盘/CD-ROM/远端裝置) 以及某些个体特征。
列出网络资源和类型,并将其传给骇客。
Symantec Gateway Security
赛门铁克在 2003 年 6 月 6 日通过 LiveUpdate 发布了 Symantec Gateway Security 更新。
Intruder Alert
赛门铁克已经为 NetProwler 3.5x 2003 年 6 月 5 日发布了 Intruder Alert 3.5/3.6 policy,如需详细信息,请单击这里。
Netprowler
赛门铁克在 2003 年 6 月 5 日发布了 NetProwler 3.5.1 的 Security Update 26,可以侦测到 W32.Bugbear.B@mm。如需详细信息,请单击这里。
Symantec ManHunt
要明确侦测到 W32.Bugbear.B@mm,赛门铁克建议 Symantec ManHunt 用戶打开 HYBRID MODE 功能并使用下列定制规则。
注意:每个签名都在一行上,下面签名中的断行是为了 Web 排版的需要。
*******************start file********************
alert tcp any any -> any 25 (msg:"BugBear B SMTP Worm Propagation"; content:"CwEGAAAgAQAAEAAAAOAGACABCAAA8AYAABAIAAAAQAAAEAAAAAIAAAQAAAAA";)
monkeysu 2003-08-27
- 打赏
- 举报
W32.Bugbear.B@mm
W32.Bugbear.B@mm 蠕虫是
W32.Bugbear@mm 的一个变形。
群发邮件蠕虫,通过文件共享网络进行传播
多形,还能感染特定清单上的可执行文件
包含键盘记录和预留后门能力
试图中断各种处于活动状态的防病毒或防火墙程序
当阅读或预览感染的邮件时,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行蠕虫。
此外,蠕虫所含例程会特別影响到到金融机构。该功能使得蠕虫能够将机密数据传送到十个电子邮箱的其中之一。这些数据包括缓存中的密码和键盘检视数据。
由于蠕虫未能正确处理网络资源类型,它会在共享打印机上泛滥,导致输出乱码或影响正常的打印工作。
也称为: Win32.Bugbear.B [CA], W32/Bugbear.b@MM [McAfee], PE_BUGBEAR.B [Trend], W32/Bugbear-B [Sophos], I-Worm.Tanatos.b [KAV], W32/Bugbear.B [Panda], Win32/Bugbear.B@mm [RAV]
类型: Virus, Worm
感染长度: 72,192
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
当 W32.Bugbear@mm 执行时,它会将自己复制到 \Startup 文件夹的 ???.exe。? 代表蠕虫选择的字母。
例如,蠕虫会将自己复制为:
在Windows 95/98/Me下,C:\Windows\Start Menu\Programs\Startup\Cuu.exe
在Windows NT/2000/XP 下,C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe
群发邮件例程
它会在当前的信箱和文件中找寻具有下列扩展名的 email 地址:
Searches for the email addresses in the current Inbox, as well as in the files with the following extensions:
.mmf
.nch
.mbx
.eml
.tbb
.dbx
.ocs
蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器和电子邮件地址:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
接着,蠕虫使用自己的 SMTP 引擎将自身发送到所有找到的电子邮件地址,并在寄件者栏位加以伪装。
蠕虫会回复、转发受感染电脑上现有的邮件,或是建立具有下列 主题的新信息。
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re:
$150 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!
至于附件名,蠕虫会利用 My Document 文件夹下具有下列任一扩展名的文件的名字:
.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp
然后附件会被附以下面的扩展名:
.scr
.pif
.exe
此外,文件名还会含有下列字串之一::
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data
信息的内容类型与文件类型相符,会是下列之一:
text/html
text/plain
application/octet-stream
image/jpeg
image/gif
最后,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行。
本地机和网络文件感染
蠕虫同时会感染本地计算机和网络共用文件夹符合下列文件名的文件。它会直接将自身附加上去,且形态变化多端。
scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe
网络共用文件夹感染
蠕虫会列举所有的网络共享文件夹和计算机并将自身复制到其中。此外,它会试图將自身复制到远端系統的 Windows Startup 文件夾。
不管是计算机还使打印机,通通是它侵害的对象。因此,不可避免的它会尝试将自己列出共享打印机的任务列表中。
键盘检视程序
蠕虫会在 Windows System 文件夹中放置一个随机命名的 .DLL 键盘记录程序文件。该文件大小为 5,632 字节,已侦测为 PWS.Hooker.Trojan。蠕虫会在 Windows 与 Windows System 资料夹中建立其它的加密文件,这些文件都有随机选取的文件名和 .DLL 或 .DAT 的扩展名。这些文件会储存设置信息和键盘记录程序记下的输入。
这些文件夹对系统无害,可以放心删除。
键盘记录文件每隔两小时,或在文件大于 25000 字节时被发往下列邮箱:
WXUudeba@mail.com.fr
bernhardca@111.com
glucarini@email.it
sohailam@brain.com.pk
tiharco@mail.gr
tjtoll@arabia.com
lilmoore2@lycos.com
oktemh@excite.com
tdawn@hawaiicity.com
raytje167@freemail.nl
ernstdor@online.ie
mbednar@emailpinoy.com
marko.aid.001@mail.ee
ellekot@freemail.lt
bleon@personal.ro
jackk@biwemail.com
newhot@mail.az
ioterj@katamail.com
ektsr@ureach.com
wejzc@student.be
rfewr@afreeinternet.com
wqsgh@asheville.com
john3784@catholic.org
iyut@dcemail.com
asgsa@thedoghousemail.com
发送键盘记录文件时,蠕虫首先通过注册键关闭自动拨接以避免在断线时拨号引起怀疑。蠕虫会在文件发送完成后还原原來的设定。
银行域名
W32.Bugbear.B@mm 有特別针对金融机构设计的功能。蠕虫的银行域名名单含有全世界范围的银行域名不下一千。
如果 W32.Bugbear.B@mm 确认本地系統的默认电子邮箱属于某个银行,除了发送键盘记录文件外,蠕虫还会把缓存中的拨号网络密码寄给作者。
W32.Bugbear.B@mm 蠕虫是
W32.Bugbear@mm 的一个变形。
群发邮件蠕虫,通过文件共享网络进行传播
多形,还能感染特定清单上的可执行文件
包含键盘记录和预留后门能力
试图中断各种处于活动状态的防病毒或防火墙程序
当阅读或预览感染的邮件时,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行蠕虫。
此外,蠕虫所含例程会特別影响到到金融机构。该功能使得蠕虫能够将机密数据传送到十个电子邮箱的其中之一。这些数据包括缓存中的密码和键盘检视数据。
由于蠕虫未能正确处理网络资源类型,它会在共享打印机上泛滥,导致输出乱码或影响正常的打印工作。
也称为: Win32.Bugbear.B [CA], W32/Bugbear.b@MM [McAfee], PE_BUGBEAR.B [Trend], W32/Bugbear-B [Sophos], I-Worm.Tanatos.b [KAV], W32/Bugbear.B [Panda], Win32/Bugbear.B@mm [RAV]
类型: Virus, Worm
感染长度: 72,192
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
当 W32.Bugbear@mm 执行时,它会将自己复制到 \Startup 文件夹的 ???.exe。? 代表蠕虫选择的字母。
例如,蠕虫会将自己复制为:
在Windows 95/98/Me下,C:\Windows\Start Menu\Programs\Startup\Cuu.exe
在Windows NT/2000/XP 下,C:\Documents and Settings\<current user name>\Start Menu\Programs\Startup\Cti.exe
群发邮件例程
它会在当前的信箱和文件中找寻具有下列扩展名的 email 地址:
Searches for the email addresses in the current Inbox, as well as in the files with the following extensions:
.mmf
.nch
.mbx
.eml
.tbb
.dbx
.ocs
蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器和电子邮件地址:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
接着,蠕虫使用自己的 SMTP 引擎将自身发送到所有找到的电子邮件地址,并在寄件者栏位加以伪装。
蠕虫会回复、转发受感染电脑上现有的邮件,或是建立具有下列 主题的新信息。
Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!
new reading
Sponsors needed
SCAM alert!!!
Warning!
its easy
free shipping!
News
Daily Email Reminder
Tools For Your Online Business
New bonus in your cash account
Your Gift
Re:
$150 FREE Bonus!
Your News Alert
Hi!
Get 8 FREE issues - no risk!
Greets!
至于附件名,蠕虫会利用 My Document 文件夹下具有下列任一扩展名的文件的名字:
.reg
.ini
.bat
.diz
.txt
.cpp
.html
.htm
.jpeg
.jpg
.gif
.cpl
.dll
.vxd
.sys
.com
.exe
.bmp
然后附件会被附以下面的扩展名:
.scr
.pif
.exe
此外,文件名还会含有下列字串之一::
readme
Setup
Card
Docs
news
image
images
pics
resume
photo
video
music
song
data
信息的内容类型与文件类型相符,会是下列之一:
text/html
text/plain
application/octet-stream
image/jpeg
image/gif
最后,蠕虫会利用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文) 的弱点在未使用修补承序的系统上自动执行。
本地机和网络文件感染
蠕虫同时会感染本地计算机和网络共用文件夹符合下列文件名的文件。它会直接将自身附加上去,且形态变化多端。
scandskw.exe
regedit.exe
mplayer.exe
hh.exe
notepad.exe
winhelp.exe
Internet Explorer\iexplore.exe
adobe\acrobat 5.0\reader\acrord32.exe
WinRAR\WinRAR.exe
Windows Media Player\mplayer2.exe
Real\RealPlayer\realplay.exe
Outlook Express\msimn.exe
Far\Far.exe
CuteFTP\cutftp32.exe
Adobe\Acrobat 4.0\Reader\AcroRd32.exe
ACDSee32\ACDSee32.exe
MSN Messenger\msnmsgr.exe
WS_FTP\WS_FTP95.exe
QuickTime\QuickTimePlayer.exe
StreamCast\Morpheus\Morpheus.exe
Zone Labs\ZoneAlarm\ZoneAlarm.exe
Trillian\Trillian.exe
Lavasoft\Ad-aware 6\Ad-aware.exe
AIM95\aim.exe
Winamp\winamp.exe
DAP\DAP.exe
ICQ\Icq.exe
kazaa\kazaa.exe
winzip\winzip32.exe
网络共用文件夹感染
蠕虫会列举所有的网络共享文件夹和计算机并将自身复制到其中。此外,它会试图將自身复制到远端系統的 Windows Startup 文件夾。
不管是计算机还使打印机,通通是它侵害的对象。因此,不可避免的它会尝试将自己列出共享打印机的任务列表中。
键盘检视程序
蠕虫会在 Windows System 文件夹中放置一个随机命名的 .DLL 键盘记录程序文件。该文件大小为 5,632 字节,已侦测为 PWS.Hooker.Trojan。蠕虫会在 Windows 与 Windows System 资料夹中建立其它的加密文件,这些文件都有随机选取的文件名和 .DLL 或 .DAT 的扩展名。这些文件会储存设置信息和键盘记录程序记下的输入。
这些文件夹对系统无害,可以放心删除。
键盘记录文件每隔两小时,或在文件大于 25000 字节时被发往下列邮箱:
WXUudeba@mail.com.fr
bernhardca@111.com
glucarini@email.it
sohailam@brain.com.pk
tiharco@mail.gr
tjtoll@arabia.com
lilmoore2@lycos.com
oktemh@excite.com
tdawn@hawaiicity.com
raytje167@freemail.nl
ernstdor@online.ie
mbednar@emailpinoy.com
marko.aid.001@mail.ee
ellekot@freemail.lt
bleon@personal.ro
jackk@biwemail.com
newhot@mail.az
ioterj@katamail.com
ektsr@ureach.com
wejzc@student.be
rfewr@afreeinternet.com
wqsgh@asheville.com
john3784@catholic.org
iyut@dcemail.com
asgsa@thedoghousemail.com
发送键盘记录文件时,蠕虫首先通过注册键关闭自动拨接以避免在断线时拨号引起怀疑。蠕虫会在文件发送完成后还原原來的设定。
银行域名
W32.Bugbear.B@mm 有特別针对金融机构设计的功能。蠕虫的银行域名名单含有全世界范围的银行域名不下一千。
如果 W32.Bugbear.B@mm 确认本地系統的默认电子邮箱属于某个银行,除了发送键盘记录文件外,蠕虫还会把缓存中的拨号网络密码寄给作者。
arse 2003-08-27
- 打赏
- 举报
n你辛苦了
monkeysu 2003-08-27
- 打赏
- 举报
W32.Mumu.B.Worm 预期 Trojan.Mumuboy 会将截取的数据记录到文件 Qjinfo.ini。因此,它会等待 2.5 分钟,然后再次以电子邮件形式发送该文件。这次使用内部的 SMTP 客户端引擎。提交的电子邮件通过 smtp.sina.com.cn SMTP 服务器发送。
它具有以下特征:
发件人:reint0.student@sina.com
收件人:sendmail2.student@sina.com
主题:<当前日期>
附件:Qjinfo.ini(包含截取的数据)
通过创建下列值尝试进行自我注册:
"Folder Service"="qjinfo.exe"
位于以下注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
但看似未放置文件 Qjinfo.exe
注意:文件 Qjinfo.exe 已在许多单独的提交中收到。基于以下原因,我们假定 Qjinfo.exe 是 W32.Mumu.B.Worm 的早期版本:
它编译的较早。
它的功能是 W32.Mumu.B.Worm 当前版本的子集。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Mumu.B.Worm 杀毒工具进行杀毒
Symantec 安全响应中心已经创建了用来杀除 W32.Mumu.B.Worm@mm 的工具。这是消除此威胁的最简便方法。请单击这里下载该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
禁用系统还原(Windows Me/XP)。
找到并终止程序 Mumu.exe 和 Last.exe。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 W32.Mumu.B.Worm、Hacktool.Hacline 或 Trojan.Mumuboy 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 找到并终止程序 Mumu.exe 和 Last.exe
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winssk32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
3. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Mumu.B.Worm@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
Kernel
和
Folder Service
退出注册表编辑器。
删除记录文件 qjinfo.ini。
它具有以下特征:
发件人:reint0.student@sina.com
收件人:sendmail2.student@sina.com
主题:<当前日期>
附件:Qjinfo.ini(包含截取的数据)
通过创建下列值尝试进行自我注册:
"Folder Service"="qjinfo.exe"
位于以下注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
但看似未放置文件 Qjinfo.exe
注意:文件 Qjinfo.exe 已在许多单独的提交中收到。基于以下原因,我们假定 Qjinfo.exe 是 W32.Mumu.B.Worm 的早期版本:
它编译的较早。
它的功能是 W32.Mumu.B.Worm 当前版本的子集。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Mumu.B.Worm 杀毒工具进行杀毒
Symantec 安全响应中心已经创建了用来杀除 W32.Mumu.B.Worm@mm 的工具。这是消除此威胁的最简便方法。请单击这里下载该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
禁用系统还原(Windows Me/XP)。
找到并终止程序 Mumu.exe 和 Last.exe。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 W32.Mumu.B.Worm、Hacktool.Hacline 或 Trojan.Mumuboy 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 找到并终止程序 Mumu.exe 和 Last.exe
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winssk32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
3. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Mumu.B.Worm@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
Kernel
和
Folder Service
退出注册表编辑器。
删除记录文件 qjinfo.ini。
bosshoss 2003-08-27
- 打赏
- 举报
W32.Mumu.B.Worm 此病毒说明中有图片,提供网址:
http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.mumu.b.worm.html
W32.Mumu.B.Worm 是一种通过网络共享传播的蠕虫。该蠕虫的主要组件是名为 Mumu.exe 的文件。该蠕虫会在受感染的系统上创建各种文件,包括合法的实用程序和恶意的文件。Symantec 产品将把这些恶意文件检测为 Trojan.Mumuboy 和 Hacktool.Hacline。
也称为: W32/Mumu.b.worm [McAfee], WORM_MUMU.A [Trend], W32/Mumu-C [Sophos], Win32.Mumu.B [CA], Worm.Win32.Muma.c [KAV]
类型: Worm
感染长度: 290,874 bytes (mumu.exe), 30,208 bytes (kavfind.exe), 20,408 bytes (bboy.exe), 36,864 (bboy.dll)
受影响的系统: Windows NT, Windows 2000, Windows XP
未受影响的系统: Macintosh, OS/2, UNIX, Linux
有效载荷:
降低性能: Network copying may cause performance degradation.
分发
端口: 139
共享驱动器: Copies across remotely accessible shares.
W32.Mumu.B.Worm 包括为该蠕虫提供特定功能的各种组件。该蠕虫同步放置和运行这些组件。该蠕虫还解析运行的结果。
执行 W32.Mumu.B.Worm 时,该蠕虫会执行下列操作:
会创建以下两个互斥体之一:
aQjinfo1mutex
aQjinfo2mutex
从它的资源找到并防止以下文件:
%System%\Kavfind.exe(30,208 字节,检测为 Hacktool.Hacline)
%System%\Last.exe(20,480 字节,检测为 Trojan.Mumuboy)
%System%\Psexec.exe(36,352 字节, SysInternals 的合法远程处理启动程序)
%System%\IPcpass.txt(510 字节,Hacktool.Hacline 使用的密码列表)
注意:%System% 是一个变量。蠕虫会找到 System 文件夹,并将自身复制到其中。默认情况下,此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
启动 Last.exe (Trojan.Mumuboy)。
将其自身复制到 %System%\Mumu.exe。
创建以下注册表以标志其存在:
HKEY_LOCAL_MACHINE\SOFTWARE\mumu
同时使用提供的目标 IP 地址启动 Hacktool.Hacline。运行时,Hacktool.Hacline 执行下列操作:
检查是否存在 W32.Mumu.B.Worm 放置的文件 IPCpass.txt。该文件包含词典攻击的名称/密码。如果未找到该文件,则 Hacktool.Hacline 将使用名称和密码的硬代码列表。
尝试通过端口 139/TCP (NetBIOS 会话服务)建立套接字连接,检查目标是否使用 TCP/IP 运行 SMB 服务。
如果端口 139/TCP 可用,Hacktool.Hacline 将尝试使用 \\%target_IP%\IPC$ 建立 Null Session 连接(匿名登录连接)。
注意:%target_IP% 是在提供的目标 IP 地址范围内列举的一个 IP 地址。Hacktool.Hacline 使用目标系统上的 Anonymous Null Session Passwords Exploit 来获得用户列表 (CVE-2000-1200 )。该功能可能派生自 W32.HLLW.Lioten。
一旦建立了 Null Session 连接,Hacktool.Hacline 会列举目标系统上所有用户帐户(所有类型的帐户)。
任何列举的用户帐户都会添加到词典中。
最后,Hacktool.Hacline 启动弱密码词典攻击来建立与共享 \\%target_IP%\Admin$ 的连接。词典中的项目既可用作用户名又可用作密码。有关每个成功建立的连接的详细信息都会记录到 IPCfind.txt 文件中。
注意:Hacktool.Hacline 以重复的登录尝试启动多个线程,这可能造成帐户锁定。
Hacktool.Hacline 一退出,该蠕虫就会检查 IPCfind.txt 文件。对于每个可连接的 SMB 共享,它将尝试使用合法的工具 Net.exe 来建立连接。因此,该蠕虫会尝试将其自身以 \\%target_IP%\admin$\system32\mumu.exe 复制到目标系统。
然后,W32.Mumu.B.Worm 启动远程处理应用程序以启动远程文件 %System%\Mumu.exe。
为 Hacktool.Hacline 指定的 IP 范围取决于本地主机 IP 地址,或会随机生成。该蠕虫还会运行 Netstat.exe 以检查当前以建立的连接。对于每个本地主机有开放连接的“可 ping 接”IP 地址,都会启动 Hacktool.Hacline以查看是否有可破坏的网络资源。
当 W32.Mumu.B.Worm 运行 Trojan.Mumuboy 可执行文件时,它会执行以下操作:
创建互斥体 aQjaashyuhv1_0,确保只有一个实例在运行。
将自身以 %Windir%\Bboy.exe 放置。
创建值:
"Kernel"="%Windir%\bboy.exe"
位于以下注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
将文件 Bboy.dll(36,864 字节)放入 %System% 文件夹。该文件还会被检测为 Trojan.Mumuboy。
尝试终止以下进程:
pfw.exe
Iparmor.exe
Eghost.exe
PasswordGuard.exe
Dfvsnet.exe
Kvfw.exe
kvapfw.exe
将一个钩子安装到钩连链中以解释任何键击,包括密码、登录详细信息等等。
将截取的数据记录到文件 Qjinfo.ini。
使用另一个线程通过 HTTP 邮件服务器 www.58589.com 将文件 Qjinfo.ini 以电子邮件形式发送出去。此类电子邮件有以下特征:
发件人:babyj@8848.com
收件人:<在 Trojan.Mumuboy 可执行文件中 0x40 上指定的电子邮件地址>(例如 terminal2000@163.com)
BCC: cq@58589.com
http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.mumu.b.worm.html
W32.Mumu.B.Worm 是一种通过网络共享传播的蠕虫。该蠕虫的主要组件是名为 Mumu.exe 的文件。该蠕虫会在受感染的系统上创建各种文件,包括合法的实用程序和恶意的文件。Symantec 产品将把这些恶意文件检测为 Trojan.Mumuboy 和 Hacktool.Hacline。
也称为: W32/Mumu.b.worm [McAfee], WORM_MUMU.A [Trend], W32/Mumu-C [Sophos], Win32.Mumu.B [CA], Worm.Win32.Muma.c [KAV]
类型: Worm
感染长度: 290,874 bytes (mumu.exe), 30,208 bytes (kavfind.exe), 20,408 bytes (bboy.exe), 36,864 (bboy.dll)
受影响的系统: Windows NT, Windows 2000, Windows XP
未受影响的系统: Macintosh, OS/2, UNIX, Linux
有效载荷:
降低性能: Network copying may cause performance degradation.
分发
端口: 139
共享驱动器: Copies across remotely accessible shares.
W32.Mumu.B.Worm 包括为该蠕虫提供特定功能的各种组件。该蠕虫同步放置和运行这些组件。该蠕虫还解析运行的结果。
执行 W32.Mumu.B.Worm 时,该蠕虫会执行下列操作:
会创建以下两个互斥体之一:
aQjinfo1mutex
aQjinfo2mutex
从它的资源找到并防止以下文件:
%System%\Kavfind.exe(30,208 字节,检测为 Hacktool.Hacline)
%System%\Last.exe(20,480 字节,检测为 Trojan.Mumuboy)
%System%\Psexec.exe(36,352 字节, SysInternals 的合法远程处理启动程序)
%System%\IPcpass.txt(510 字节,Hacktool.Hacline 使用的密码列表)
注意:%System% 是一个变量。蠕虫会找到 System 文件夹,并将自身复制到其中。默认情况下,此文件夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
启动 Last.exe (Trojan.Mumuboy)。
将其自身复制到 %System%\Mumu.exe。
创建以下注册表以标志其存在:
HKEY_LOCAL_MACHINE\SOFTWARE\mumu
同时使用提供的目标 IP 地址启动 Hacktool.Hacline。运行时,Hacktool.Hacline 执行下列操作:
检查是否存在 W32.Mumu.B.Worm 放置的文件 IPCpass.txt。该文件包含词典攻击的名称/密码。如果未找到该文件,则 Hacktool.Hacline 将使用名称和密码的硬代码列表。
尝试通过端口 139/TCP (NetBIOS 会话服务)建立套接字连接,检查目标是否使用 TCP/IP 运行 SMB 服务。
如果端口 139/TCP 可用,Hacktool.Hacline 将尝试使用 \\%target_IP%\IPC$ 建立 Null Session 连接(匿名登录连接)。
注意:%target_IP% 是在提供的目标 IP 地址范围内列举的一个 IP 地址。Hacktool.Hacline 使用目标系统上的 Anonymous Null Session Passwords Exploit 来获得用户列表 (CVE-2000-1200 )。该功能可能派生自 W32.HLLW.Lioten。
一旦建立了 Null Session 连接,Hacktool.Hacline 会列举目标系统上所有用户帐户(所有类型的帐户)。
任何列举的用户帐户都会添加到词典中。
最后,Hacktool.Hacline 启动弱密码词典攻击来建立与共享 \\%target_IP%\Admin$ 的连接。词典中的项目既可用作用户名又可用作密码。有关每个成功建立的连接的详细信息都会记录到 IPCfind.txt 文件中。
注意:Hacktool.Hacline 以重复的登录尝试启动多个线程,这可能造成帐户锁定。
Hacktool.Hacline 一退出,该蠕虫就会检查 IPCfind.txt 文件。对于每个可连接的 SMB 共享,它将尝试使用合法的工具 Net.exe 来建立连接。因此,该蠕虫会尝试将其自身以 \\%target_IP%\admin$\system32\mumu.exe 复制到目标系统。
然后,W32.Mumu.B.Worm 启动远程处理应用程序以启动远程文件 %System%\Mumu.exe。
为 Hacktool.Hacline 指定的 IP 范围取决于本地主机 IP 地址,或会随机生成。该蠕虫还会运行 Netstat.exe 以检查当前以建立的连接。对于每个本地主机有开放连接的“可 ping 接”IP 地址,都会启动 Hacktool.Hacline以查看是否有可破坏的网络资源。
当 W32.Mumu.B.Worm 运行 Trojan.Mumuboy 可执行文件时,它会执行以下操作:
创建互斥体 aQjaashyuhv1_0,确保只有一个实例在运行。
将自身以 %Windir%\Bboy.exe 放置。
创建值:
"Kernel"="%Windir%\bboy.exe"
位于以下注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
将文件 Bboy.dll(36,864 字节)放入 %System% 文件夹。该文件还会被检测为 Trojan.Mumuboy。
尝试终止以下进程:
pfw.exe
Iparmor.exe
Eghost.exe
PasswordGuard.exe
Dfvsnet.exe
Kvfw.exe
kvapfw.exe
将一个钩子安装到钩连链中以解释任何键击,包括密码、登录详细信息等等。
将截取的数据记录到文件 Qjinfo.ini。
使用另一个线程通过 HTTP 邮件服务器 www.58589.com 将文件 Qjinfo.ini 以电子邮件形式发送出去。此类电子邮件有以下特征:
发件人:babyj@8848.com
收件人:<在 Trojan.Mumuboy 可执行文件中 0x40 上指定的电子邮件地址>(例如 terminal2000@163.com)
BCC: cq@58589.com
bosshoss 2003-08-27
- 打赏
- 举报
JS.Fortnight.C
JS.Fortnight.C 是一个放置文件的特洛伊木马,随后该文件会插入 Microsoft Outlook Express 的默认签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在收件人打开电子邮件时尝试进入特定网站的代码。
JS.Fortnight.C 利用使用 IFRAME 标记(通过设置为特洛伊木马创建者的地址的 SRC 字段)的 Microsoft VM 漏洞。在一系列重定向后,编码的 JavaScript 将加载包含漏洞的小程序。在未打补丁的系统上,有各种注册表键和 Web 浏览器设置会被修改。
注意:2003 年 7 月 3 日之前的病毒定义会将某些文件检测为 JS.Fortnight。
也称为: JS/Fortnight@M [McAfee], JS.Fortnight.b [KAV], JS/Fortnight-D [Sophos], JS_FORTNIGHT.D [Trend]
类型: Trojan Horse, Worm
感染长度: varies
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP
未受影响的系统: Macintosh, OS/2, UNIX, Linux
有效载荷:
大量电子邮件发送: Modify the Outlook Express settings to spread as a link in the default signature.
修改文件: Adds URL redirection to the host's file for many URLs.
执行JS.Fortnight.C 时,会执行下列操作:
创建文件 %Windir\S.htm,该文件上会打开网站上某一页的 HTML 文件。
将 S.htm 插入默认的 Microsoft Outlook Express 签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在邮件打开时尝试打开特定网站的代码。
要实现这一操作,该特洛伊木马会如下修改注册表:
将值:
Default Signature 0
添加到注册表键:
HKEY_CURRENT_USER\Identities\[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures
将值:
file %windir\s.htm
name Signature #1
text ""
type 2
添加到注册表键:
HKEY_CURRENT_USER\Identities\[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures\00000000
在注册表中更改以下 Internet Explorer 设置以将电子邮件收件人指向特洛伊木马创建者的站点:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\SecurityTab
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\AdvancedTab HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
在受害人的 Web 浏览器的收藏夹中创建三个快捷方式:
%Windir%\Favorites\Nude Nurses.url
%Windir%\Favorites\Search You Trust.url
%Windir%\Favorites\Your Favorite Porn Links.url
修改 Windows Host 文件,将许多 URL 都重新定向为特洛伊木马创建者的站点。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 JS.Fortnight.C 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
2. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 JS.Fortnight.C,请单击“删除”。
3. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键并将其删除:
HKEY_CURRENT_USER\Identities\[Default User ID]
\Software\Microsoft\Outlook Express\5.0\signatures
退出注册表编辑器。
JS.Fortnight.C 是一个放置文件的特洛伊木马,随后该文件会插入 Microsoft Outlook Express 的默认签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在收件人打开电子邮件时尝试进入特定网站的代码。
JS.Fortnight.C 利用使用 IFRAME 标记(通过设置为特洛伊木马创建者的地址的 SRC 字段)的 Microsoft VM 漏洞。在一系列重定向后,编码的 JavaScript 将加载包含漏洞的小程序。在未打补丁的系统上,有各种注册表键和 Web 浏览器设置会被修改。
注意:2003 年 7 月 3 日之前的病毒定义会将某些文件检测为 JS.Fortnight。
也称为: JS/Fortnight@M [McAfee], JS.Fortnight.b [KAV], JS/Fortnight-D [Sophos], JS_FORTNIGHT.D [Trend]
类型: Trojan Horse, Worm
感染长度: varies
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP
未受影响的系统: Macintosh, OS/2, UNIX, Linux
有效载荷:
大量电子邮件发送: Modify the Outlook Express settings to spread as a link in the default signature.
修改文件: Adds URL redirection to the host's file for many URLs.
执行JS.Fortnight.C 时,会执行下列操作:
创建文件 %Windir\S.htm,该文件上会打开网站上某一页的 HTML 文件。
将 S.htm 插入默认的 Microsoft Outlook Express 签名中。之后,每次您使用 Outlook Express 发送电子邮件时,邮件中都会包含在邮件打开时尝试打开特定网站的代码。
要实现这一操作,该特洛伊木马会如下修改注册表:
将值:
Default Signature 0
添加到注册表键:
HKEY_CURRENT_USER\Identities\[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures
将值:
file %windir\s.htm
name Signature #1
text ""
type 2
添加到注册表键:
HKEY_CURRENT_USER\Identities\[Default User ID]\
Software\Microsoft\Outlook Express\5.0\signatures\00000000
在注册表中更改以下 Internet Explorer 设置以将电子邮件收件人指向特洛伊木马创建者的站点:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\SecurityTab
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\AdvancedTab HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
在受害人的 Web 浏览器的收藏夹中创建三个快捷方式:
%Windir%\Favorites\Nude Nurses.url
%Windir%\Favorites\Search You Trust.url
%Windir%\Favorites\Your Favorite Porn Links.url
修改 Windows Host 文件,将许多 URL 都重新定向为特洛伊木马创建者的站点。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
更新病毒定义。
运行完整的系统扫描,并删除所有被检测为 JS.Fortnight.C 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
2. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 JS.Fortnight.C,请单击“删除”。
3. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键并将其删除:
HKEY_CURRENT_USER\Identities\[Default User ID]
\Software\Microsoft\Outlook Express\5.0\signatures
退出注册表编辑器。
bosshoss 2003-08-27
- 打赏
- 举报
W32.Mimail.A@mm
W32.Mimail@mm 是通过电子邮件传播的蠕虫。
受感染的电子邮件具有下列特征:
主旨:your account %s
附件:message.zip
注意:%s 是指一个变量字符串。
这个威胁利用了一个已知的安全漏洞。有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫使用 UPX 压缩方式压缩。
版本数字为 50801r,或名 August 1,2003 rev 18 或更大的病毒定义文件能够探测这个威胁。
也称为: WORM_MIMAIL.A [Trend], W32/Mimail@MM [McAfee], Win32.Mimail.A [CA], W32/Mimail-A [Sophos], I-Worm.Mimail [KAV]
类型: Worm
感染长度: approximately 16kb
分发
电子邮件主题: your account %s
附件名称: message.zip
如果执行 W32.Mimail.A@mm,它会进行以下动作:
将自身复制为 %Windir%\Videodrv.exe。
新增下列值:
"VideoDriver"="%Windir%\videodrv.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫就会执行。
使用它自己的 SMTP 服务器通过电子邮件传播。
受感染的电子邮件具有下列特征:
寄件者:admin@<current domain> (The from address may be spoofed as if to appear its coming from the current domain)
主旨:your account %s
内文:
Hello there,
I would like to inform you about important information regarding your email address.This email address will be expiring. Please read attachment for details.
Best regards,
Administrator
附件:Message.zip
Message.zip 含有档案 Message.htm, 此档案在 Temporary Internet Files 数据夹创建一个叫 Foo.exe 的蠕虫副本,然后将其执行。
有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫在 %Windir% 数据夹中创建另外两个档案。
Zip.tmp:这个是 message.zip (30,079 bytes) 的临时副本。
Exe.tmp:这个是 message.html (29,957 bytes) 的临时副本。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Mimail.A@mm 杀毒工具
赛门铁克安全机制应变中心已经开发了一套工具,可用来移除 W32.Mimail.A@mm。这是移除此威胁最简易的方法。
手动杀毒
除了可以使用杀毒工具外,您还可以手动移除蠕虫。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
关闭「系统还原」(Windows Me/XP)。
更新病毒定义文件。
执行完整的系统扫描,删除所有侦测到的 W32.Mimail.A@mm 档案。
删除新增至注册表里的值。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被 W32.Mimail.A@mm 感染,请单击“删除”。
4. 从注册表中删除值
注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何为 Windows 注册表进行备份」文件。
按下「开始」,然后按下「执行」。(画面上便会出现「执行」对话框。)
键入 regedit
然后按下「确定」。(「注册表编辑器」会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
"VideoDriver"="%Windir%\videodrv.exe"
结束并离开「注册表编辑器」。
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影响的系统: Macintosh, OS/2, UNIX, Linux
CVE 参考: CAN-2002-0980, CAN-2002-0077
W32.Mimail@mm 是通过电子邮件传播的蠕虫。
受感染的电子邮件具有下列特征:
主旨:your account %s
附件:message.zip
注意:%s 是指一个变量字符串。
这个威胁利用了一个已知的安全漏洞。有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫使用 UPX 压缩方式压缩。
版本数字为 50801r,或名 August 1,2003 rev 18 或更大的病毒定义文件能够探测这个威胁。
也称为: WORM_MIMAIL.A [Trend], W32/Mimail@MM [McAfee], Win32.Mimail.A [CA], W32/Mimail-A [Sophos], I-Worm.Mimail [KAV]
类型: Worm
感染长度: approximately 16kb
分发
电子邮件主题: your account %s
附件名称: message.zip
如果执行 W32.Mimail.A@mm,它会进行以下动作:
将自身复制为 %Windir%\Videodrv.exe。
新增下列值:
"VideoDriver"="%Windir%\videodrv.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫就会执行。
使用它自己的 SMTP 服务器通过电子邮件传播。
受感染的电子邮件具有下列特征:
寄件者:admin@<current domain> (The from address may be spoofed as if to appear its coming from the current domain)
主旨:your account %s
内文:
Hello there,
I would like to inform you about important information regarding your email address.This email address will be expiring. Please read attachment for details.
Best regards,
Administrator
附件:Message.zip
Message.zip 含有档案 Message.htm, 此档案在 Temporary Internet Files 数据夹创建一个叫 Foo.exe 的蠕虫副本,然后将其执行。
有关这个漏洞和 Microsoft 修补程序的讯息请阅读:http://support.microsoft.com/default.aspx?scid=kb;en-us;330994
建议系统管理员采用 Microsoft 修补程序,预防此蠕虫的感染。
此蠕虫在 %Windir% 数据夹中创建另外两个档案。
Zip.tmp:这个是 message.zip (30,079 bytes) 的临时副本。
Exe.tmp:这个是 message.html (29,957 bytes) 的临时副本。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Mimail.A@mm 杀毒工具
赛门铁克安全机制应变中心已经开发了一套工具,可用来移除 W32.Mimail.A@mm。这是移除此威胁最简易的方法。
手动杀毒
除了可以使用杀毒工具外,您还可以手动移除蠕虫。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
关闭「系统还原」(Windows Me/XP)。
更新病毒定义文件。
执行完整的系统扫描,删除所有侦测到的 W32.Mimail.A@mm 档案。
删除新增至注册表里的值。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被 W32.Mimail.A@mm 感染,请单击“删除”。
4. 从注册表中删除值
注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何为 Windows 注册表进行备份」文件。
按下「开始」,然后按下「执行」。(画面上便会出现「执行」对话框。)
键入 regedit
然后按下「确定」。(「注册表编辑器」会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
"VideoDriver"="%Windir%\videodrv.exe"
结束并离开「注册表编辑器」。
受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
未受影响的系统: Macintosh, OS/2, UNIX, Linux
CVE 参考: CAN-2002-0980, CAN-2002-0077
ptys 2003-08-26
- 打赏
- 举报
谢谢
diablozxq 2003-08-26
- 打赏
- 举报
谢谢
monkeysu 2003-08-26
- 打赏
- 举报
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Blaster.Worm 移除工具来移除蠕虫
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。这是消除此威胁最简便的方法,应首先尝试此方法。
手动杀毒
除了使用杀毒工具,还可以手动消除此威胁。以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
还原 Internet 连接。
终止蠕虫进程。
获得最新的病毒定义。
扫描和删除受感染文件。
撤消对注册表所做的更改。
获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞。
有关详细信息,请参阅下列指导:
1. 还原 Internet 连接
在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许您连接到 Internet,而不会关闭计算机。要还原 PC 的 Internet 连接,请执行下列操作:
单击“开始”>“运行”。出现“运行”对话框。
键入:
SERVICES.MSC /S
然后单击“确定”。“服务”窗口出现。
在右窗格中,找到 Remote Procedure Call (RPC) 服务。
--------------------------------------------------------------------------------
警告:还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。
--------------------------------------------------------------------------------
用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
单击“故障恢复”选项卡。
使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
单击“应用”,然后单击“确定”。
--------------------------------------------------------------------------------
警告:杀除蠕虫后,请务必将这些设置更改回原来的值。
--------------------------------------------------------------------------------
2. 结束蠕虫程序
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“处理程序”卷标。
连按两下“影像名称”字段标头以便以英文字母顺序进行排序。
浏览一下清单并寻找 msblast.exe。
如果您找到该档案,单击它并单击“结束处理程序”。
结束“任务管理器”。
3. 更新病毒定义文件
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
对于较新的计算机用户
运行 LiveUpdate,这是获得病毒定义最简便的方法:针对 W32.Blaster.worm 的病毒定义在 2003 年 8 月 11 日之后即可通过 LiveUpdate 服务器获得。要获得最新的病毒定义,请在您的 Symantec 产品的主用户界面中单击 LiveUpdate 按钮。运行 LiveUpdate 时,请确保只选中“Norton AntiVirus 病毒定义”。可以在稍后获得产品更新。
对于系统管理员和高级用户
使用智能更新程序下载定义:“智能更新程序”病毒定义在美国工作日发布(周一至周五)。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于该威胁的定义,请参考病毒定义(智能更新程序)。
有关获得“智能更新程序”病毒定义的详细指导,请阅读文档:如何使用智能更新程序更新病毒定义文件。。
4. 扫描并删除受感染的档案
启动您的赛门铁克防毒程序,确定已架构为扫描所有档案。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
执行完整系统扫描。
如果侦测到任何受 W32.Blaster.Worm 感染的档案,请单击“删除”。
5. 恢复对注册键所做的变更
--------------------------------------------------------------------------------
警告:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的键。如需详细指示,请阅读“如何备份 Windows 注册表”文件。
--------------------------------------------------------------------------------
单击“开始”,然后单击“执行”。(将出现“运行”对话框。)
键入 regedit,然后单击“确定”。(将打开注册表编辑器。)
跳到这个键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
windows auto update
结束并离开注册表编辑器。
6. 获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞
W32.Blaster.Worm 是一种通过 TCP 端口 135,利用 DCOM RPC 漏洞感染 PC 的蠕虫。W32.Blaster.Worm 还会试图使用您的 PC 对 Microsoft Windows Update Web 服务器 (windowsupdate.com) 执行 DoS 攻击。要修复此漏洞,请从 Microsoft Security Bulletin MS03-026 获得 Microsoft 热修复工具,这点很重要。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Blaster.Worm 移除工具来移除蠕虫
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。这是消除此威胁最简便的方法,应首先尝试此方法。
手动杀毒
除了使用杀毒工具,还可以手动消除此威胁。以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
还原 Internet 连接。
终止蠕虫进程。
获得最新的病毒定义。
扫描和删除受感染文件。
撤消对注册表所做的更改。
获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞。
有关详细信息,请参阅下列指导:
1. 还原 Internet 连接
在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许您连接到 Internet,而不会关闭计算机。要还原 PC 的 Internet 连接,请执行下列操作:
单击“开始”>“运行”。出现“运行”对话框。
键入:
SERVICES.MSC /S
然后单击“确定”。“服务”窗口出现。
在右窗格中,找到 Remote Procedure Call (RPC) 服务。
--------------------------------------------------------------------------------
警告:还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。
--------------------------------------------------------------------------------
用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
单击“故障恢复”选项卡。
使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
单击“应用”,然后单击“确定”。
--------------------------------------------------------------------------------
警告:杀除蠕虫后,请务必将这些设置更改回原来的值。
--------------------------------------------------------------------------------
2. 结束蠕虫程序
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“处理程序”卷标。
连按两下“影像名称”字段标头以便以英文字母顺序进行排序。
浏览一下清单并寻找 msblast.exe。
如果您找到该档案,单击它并单击“结束处理程序”。
结束“任务管理器”。
3. 更新病毒定义文件
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
对于较新的计算机用户
运行 LiveUpdate,这是获得病毒定义最简便的方法:针对 W32.Blaster.worm 的病毒定义在 2003 年 8 月 11 日之后即可通过 LiveUpdate 服务器获得。要获得最新的病毒定义,请在您的 Symantec 产品的主用户界面中单击 LiveUpdate 按钮。运行 LiveUpdate 时,请确保只选中“Norton AntiVirus 病毒定义”。可以在稍后获得产品更新。
对于系统管理员和高级用户
使用智能更新程序下载定义:“智能更新程序”病毒定义在美国工作日发布(周一至周五)。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于该威胁的定义,请参考病毒定义(智能更新程序)。
有关获得“智能更新程序”病毒定义的详细指导,请阅读文档:如何使用智能更新程序更新病毒定义文件。。
4. 扫描并删除受感染的档案
启动您的赛门铁克防毒程序,确定已架构为扫描所有档案。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
执行完整系统扫描。
如果侦测到任何受 W32.Blaster.Worm 感染的档案,请单击“删除”。
5. 恢复对注册键所做的变更
--------------------------------------------------------------------------------
警告:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的键。如需详细指示,请阅读“如何备份 Windows 注册表”文件。
--------------------------------------------------------------------------------
单击“开始”,然后单击“执行”。(将出现“运行”对话框。)
键入 regedit,然后单击“确定”。(将打开注册表编辑器。)
跳到这个键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
windows auto update
结束并离开注册表编辑器。
6. 获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞
W32.Blaster.Worm 是一种通过 TCP 端口 135,利用 DCOM RPC 漏洞感染 PC 的蠕虫。W32.Blaster.Worm 还会试图使用您的 PC 对 Microsoft Windows Update Web 服务器 (windowsupdate.com) 执行 DoS 攻击。要修复此漏洞,请从 Microsoft Security Bulletin MS03-026 获得 Microsoft 热修复工具,这点很重要。
bosshoss 2003-08-26
- 打赏
- 举报
W32.Blaster.Worm
W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 更多有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。
建议用户通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发
端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。
如果执行 W32.Blaster.Worm,它会进行以下动作:
建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。
新增下列值:
"windows auto update"="msblast.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫都会执行。
计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。
C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。
然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。
注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅下面相应的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
缓解 DoS 有效载荷
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。但尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
Symantec Client Security
2003 年 8 月 15 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Blaster.Worm 活动。
Symantec Gateway Security
2003 年 8 月 12 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 的应用程序完全检查防火墙技术可以有效防御这个 Microsoft 安全漏洞,在默认情况下禁止所有上述端口。为获得最高的安全性,第三代应用程序完全检查技术有效禁止了利用 HTTP 信道的 DCOM 通讯通道(tunneling of DCOM traffic over HTTP channels),提供了其它最常见的网络过滤防火墙尚未提供的额外一层防护。
Symantec Host IDS
2003 年 8 月 12 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Intruder Alert
2003 年 8 月 12 日,Symantec 发布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。
Symantec Enterprise Firewall
Symantec 完整的应用程序检查防火墙技术可抵御 W32.Blaster.worm,默认情况下会禁止上面列出的所有 TCP 端口。
Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 5 发布了特别针对 W32.Blaster.Worm 的签名以侦测 W32.Blaster.Worm 的更多特征。
Symantec ManHunt 协议异常检测技术可以检测到与 DoS SYN 泛滥攻击相关联的活动。安全响应中心已经为 ManHunt 3.0 创建了自定义的特征,并发布在 Security Update 6 中,用于将此攻击专门检测为 Blaster DDoS 请求。
Enterprise Security Manager
Symantec 安全响应中心于 2003 年 7 月 17 日发布了针对此漏洞的响应策略。
W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 更多有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。
建议用户通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发
端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。
如果执行 W32.Blaster.Worm,它会进行以下动作:
建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。
新增下列值:
"windows auto update"="msblast.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫都会执行。
计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。
C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。
然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。
注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅下面相应的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
缓解 DoS 有效载荷
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。但尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
Symantec Client Security
2003 年 8 月 15 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Blaster.Worm 活动。
Symantec Gateway Security
2003 年 8 月 12 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 的应用程序完全检查防火墙技术可以有效防御这个 Microsoft 安全漏洞,在默认情况下禁止所有上述端口。为获得最高的安全性,第三代应用程序完全检查技术有效禁止了利用 HTTP 信道的 DCOM 通讯通道(tunneling of DCOM traffic over HTTP channels),提供了其它最常见的网络过滤防火墙尚未提供的额外一层防护。
Symantec Host IDS
2003 年 8 月 12 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Intruder Alert
2003 年 8 月 12 日,Symantec 发布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。
Symantec Enterprise Firewall
Symantec 完整的应用程序检查防火墙技术可抵御 W32.Blaster.worm,默认情况下会禁止上面列出的所有 TCP 端口。
Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 5 发布了特别针对 W32.Blaster.Worm 的签名以侦测 W32.Blaster.Worm 的更多特征。
Symantec ManHunt 协议异常检测技术可以检测到与 DoS SYN 泛滥攻击相关联的活动。安全响应中心已经为 ManHunt 3.0 创建了自定义的特征,并发布在 Security Update 6 中,用于将此攻击专门检测为 Blaster DDoS 请求。
Enterprise Security Manager
Symantec 安全响应中心于 2003 年 7 月 17 日发布了针对此漏洞的响应策略。
bosshoss 2003-08-26
- 打赏
- 举报
2. 更新病毒定义文件
赛门铁克在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件,请单击“删除”。
4. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
按下“开始”,然后按下“运行”。(画面上便会出现“运行”对话框。)
输入 regedit 并按下“确定”。(“注册表编辑器”会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
"load32"="%Windir%\load32.exe"
结束并离开“注册表编辑器”。
5. 移除新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)
如果您运行的是 Windows 95/98/Me,请遵循下列步骤:
您所运行的功能会根据操作系统而有所不同:
Windows 95/98:
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。
edit c:\windows\win.ini
(接着会开启 MS-DOS 编辑器。)
注意:如果 Windows 安装在不同位置,请做适当的路径变更。
在文件中的 [windows] 区段,寻找与以下类似的行:
run=%Windir%\dllreg.exe
如果此行存在,请删除 run= 右边的所有文字。完成后,应该如下所示:
run=
按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。
edit c:\windows\system.ini
(接着会开启 MS-DOS 编辑器。)
注意:如果 Windows 安装在不同位置,请做适当的路径变更。
在文件中的 [boot] 区段,寻找与以下类似的行:
shell = explorer.exe %Windir%\vxdmgr32.exe
如果此行存在,请删除 explorer.exe 右边的所有文字。完成后,应该如下所示:
shell = explorer.exe
按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
Windows Me:如果您运行的是 Windows Me,那么 Windows Me 的文件保护处理程序可能已经为您必须编辑的 Win.ini 或 system.ini 档制作了的备份副本。如果备份副本存在,它们会储存在 C:\Windows\Recent 文件夹中。赛门铁克建议您在继续进行本节步骤之前,先删除此备份文件。若要完成此项操作:
启动“Windows 文件管理器”。
浏览并选取 C:\Windows\Recent 文件夹。
在右边窗格中,选取 Win.ini 并加以删除。当您重新启动计算机后,会重新产生此 Win.ini 文件。
在右边窗格中,选取 System.ini 档并加以删除。当您重新启动计算机后,会重新产生此 System.ini 文件。
赛门铁克在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件,请单击“删除”。
4. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
按下“开始”,然后按下“运行”。(画面上便会出现“运行”对话框。)
输入 regedit 并按下“确定”。(“注册表编辑器”会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
"load32"="%Windir%\load32.exe"
结束并离开“注册表编辑器”。
5. 移除新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)
如果您运行的是 Windows 95/98/Me,请遵循下列步骤:
您所运行的功能会根据操作系统而有所不同:
Windows 95/98:
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。
edit c:\windows\win.ini
(接着会开启 MS-DOS 编辑器。)
注意:如果 Windows 安装在不同位置,请做适当的路径变更。
在文件中的 [windows] 区段,寻找与以下类似的行:
run=%Windir%\dllreg.exe
如果此行存在,请删除 run= 右边的所有文字。完成后,应该如下所示:
run=
按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。
edit c:\windows\system.ini
(接着会开启 MS-DOS 编辑器。)
注意:如果 Windows 安装在不同位置,请做适当的路径变更。
在文件中的 [boot] 区段,寻找与以下类似的行:
shell = explorer.exe %Windir%\vxdmgr32.exe
如果此行存在,请删除 explorer.exe 右边的所有文字。完成后,应该如下所示:
shell = explorer.exe
按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
Windows Me:如果您运行的是 Windows Me,那么 Windows Me 的文件保护处理程序可能已经为您必须编辑的 Win.ini 或 system.ini 档制作了的备份副本。如果备份副本存在,它们会储存在 C:\Windows\Recent 文件夹中。赛门铁克建议您在继续进行本节步骤之前,先删除此备份文件。若要完成此项操作:
启动“Windows 文件管理器”。
浏览并选取 C:\Windows\Recent 文件夹。
在右边窗格中,选取 Win.ini 并加以删除。当您重新启动计算机后,会重新产生此 Win.ini 文件。
在右边窗格中,选取 System.ini 档并加以删除。当您重新启动计算机后,会重新产生此 System.ini 文件。
bosshoss 2003-08-26
- 打赏
- 举报
W32.Dumaru@mm
W32.Dumaru@mm 是一种会寄发大量邮件的蠕虫,它会将 IRC 特洛伊木马程序安装在受感染的计算机上。此蠕虫会从某种文件类型收集电子邮件地址,然后使用其自身的 SMTP 引擎让自己随电子邮件寄送出去。
受感染的电子邮件具有下列特征:
发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe
此威胁是以 Microsoft C++ 程序语言撰写,并以 UPX 压缩而成。
赛门铁克安全响应中心已经创建了用来杀除 W32.Dumaru@mm 的工具。单击此处可获取该工具。
也称为: PE_DUMARU.A [Trend], Win32.Dumaru [CA], W32/Dumaru@MM [McAfee], W32/Dumaru-A [Sophos], I-Worm.Dumaru [KAV]
类型: Worm
感染长度: 9,216
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX
有效载荷: 将 IRC 特洛伊木马程序安装在受感染的计算机上。
大量电子邮件发送: 将自己寄给在 .htm、.wab、.html、.dbx、.tbb、.abd 文件中找到的所有电子邮件地址。
修改文件: win.ini, system.ini
分发
电子邮件主题: Use this patch immediately !
附件名称: patch.exe
附件大小: 9,216
如果运行 W32.Dumaru@mm,它会进行以下动作:
将自身复制为下列文件:
%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe
注意:
此处的 %windir% 是变量,蠕虫会自行找到 Windows 安装数据夹 (预设为 C:\Windows 或 C:\Winnt) 并将自己复制过去。
%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
建立 %Windir%\windrv.exe 文件 (8,192 字节),为 IRC 特洛伊木马程序。一旦运行,它会连接至预先定义的IRC 服务器,然后加入特定的频道以听从蠕虫撰写者的指令。
建立 %Windir%\winload.log 日志文件。此蠕虫会用它来储存偷到的电子邮件地址。
注意:此日志文件本身并不是病毒,也无法被赛门铁克的防毒产品所侦测。若您的系统遭受此蠕虫的感染,您必须手动删除它。
新增下列值:
"load32" = "%Windir%\load32.exe"
至注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便当您启动 Windows 时蠕虫能够自动运行。
修改 win.ini 檔中的 windows 区段 (仅适用于 Windows 95/98/Me):
[windows]
run=%Windir%\dllreg.exe
修改 system.ini 檔中的 boot 区段 (仅适用于 Windows 95/98/Me):
[boot]
shell=explorer.exe %System%\vxdmgr32.exe
在具有下列扩展名的文件里找到电子邮件地址:
.htm
.wab
.html
.dbx
.tbb
.abd
使用自身的 SMTP 引擎让自己随电子邮件寄送出去。
受感染的电子邮件具有下列特征:
发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe
Symantec Gateway Security
2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Dumaru_Worm Policy。
Symantec ManHunt
发布了 Security Update 7 以提供针对 W32.Dumaru@mm 的签名。
Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。
Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Dumaru@mm 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Dumaru@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
运行完整的系统扫描,删除所有侦测到的 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件。
删除新增至注册表里的值。
移除蠕虫新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
W32.Dumaru@mm 是一种会寄发大量邮件的蠕虫,它会将 IRC 特洛伊木马程序安装在受感染的计算机上。此蠕虫会从某种文件类型收集电子邮件地址,然后使用其自身的 SMTP 引擎让自己随电子邮件寄送出去。
受感染的电子邮件具有下列特征:
发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe
此威胁是以 Microsoft C++ 程序语言撰写,并以 UPX 压缩而成。
赛门铁克安全响应中心已经创建了用来杀除 W32.Dumaru@mm 的工具。单击此处可获取该工具。
也称为: PE_DUMARU.A [Trend], Win32.Dumaru [CA], W32/Dumaru@MM [McAfee], W32/Dumaru-A [Sophos], I-Worm.Dumaru [KAV]
类型: Worm
感染长度: 9,216
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX
有效载荷: 将 IRC 特洛伊木马程序安装在受感染的计算机上。
大量电子邮件发送: 将自己寄给在 .htm、.wab、.html、.dbx、.tbb、.abd 文件中找到的所有电子邮件地址。
修改文件: win.ini, system.ini
分发
电子邮件主题: Use this patch immediately !
附件名称: patch.exe
附件大小: 9,216
如果运行 W32.Dumaru@mm,它会进行以下动作:
将自身复制为下列文件:
%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe
注意:
此处的 %windir% 是变量,蠕虫会自行找到 Windows 安装数据夹 (预设为 C:\Windows 或 C:\Winnt) 并将自己复制过去。
%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
建立 %Windir%\windrv.exe 文件 (8,192 字节),为 IRC 特洛伊木马程序。一旦运行,它会连接至预先定义的IRC 服务器,然后加入特定的频道以听从蠕虫撰写者的指令。
建立 %Windir%\winload.log 日志文件。此蠕虫会用它来储存偷到的电子邮件地址。
注意:此日志文件本身并不是病毒,也无法被赛门铁克的防毒产品所侦测。若您的系统遭受此蠕虫的感染,您必须手动删除它。
新增下列值:
"load32" = "%Windir%\load32.exe"
至注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便当您启动 Windows 时蠕虫能够自动运行。
修改 win.ini 檔中的 windows 区段 (仅适用于 Windows 95/98/Me):
[windows]
run=%Windir%\dllreg.exe
修改 system.ini 檔中的 boot 区段 (仅适用于 Windows 95/98/Me):
[boot]
shell=explorer.exe %System%\vxdmgr32.exe
在具有下列扩展名的文件里找到电子邮件地址:
.htm
.wab
.html
.dbx
.tbb
.abd
使用自身的 SMTP 引擎让自己随电子邮件寄送出去。
受感染的电子邮件具有下列特征:
发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe
Symantec Gateway Security
2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Dumaru_Worm Policy。
Symantec ManHunt
发布了 Security Update 7 以提供针对 W32.Dumaru@mm 的签名。
Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。
Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Dumaru@mm 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Dumaru@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
运行完整的系统扫描,删除所有侦测到的 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件。
删除新增至注册表里的值。
移除蠕虫新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
KillAllError 2003-08-26
- 打赏
- 举报
yun
bosshoss 2003-08-24
- 打赏
- 举报
使用 W32.Welchia.Worm 杀毒工具杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。这是消除此威胁的最简便方法。单击这里获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
重新启动计算机或者结束蠕虫程序。
运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。
删除 Svchost.exe。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原 (Windows XP)
如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。
同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。
有关如何禁用系统还原功能的指导,请参阅 如何禁用或启用 Windows Me 系统还原。
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义文件
赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Dllhost.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除子键:
RpcPatch
和
RpcTftpd
退出注册表编辑器。
6. 删除 Svchost.exe 文件
浏览至 %System%\Wins 数据夹,然后删除 Svchost.exe 文件。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。这是消除此威胁的最简便方法。单击这里获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
重新启动计算机或者结束蠕虫程序。
运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。
删除 Svchost.exe。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原 (Windows XP)
如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。
同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。
有关如何禁用系统还原功能的指导,请参阅 如何禁用或启用 Windows Me 系统还原。
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义文件
赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Dllhost.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除子键:
RpcPatch
和
RpcTftpd
退出注册表编辑器。
6. 删除 Svchost.exe 文件
浏览至 %System%\Wins 数据夹,然后删除 Svchost.exe 文件。
bosshoss 2003-08-24
- 打赏
- 举报
W32.Welchia.Worm
W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:
使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。
使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。
W32.Welchia.Worm 运行时会运行下列动作:
此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
此蠕虫也会试图移除 W32.Blaster.Worm。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。
也称为: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [KAV]
类型: Worm
感染长度: 10,240 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX
CVE 参考: CAN-2003-0109, CAN-2003-0352
有效载荷:
删除文件: 删除 msblast.exe。
造成系统不稳定: 由于 RPC 服务当机,故易受威胁的Windows 2000 机器会遭遇系统不稳。
危及安全设置: 在所有受感染的机器上安装 TFTP 服务器。
分发
端口: TCP 135(RPC DCOM), TCP 80(WebDav)
当 W32.Welchia.Worm 运行时,它会运行下列动作:
将自身复制到:%System%\Wins\Dllhost.exe
注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
复制 %System%\Dllcache\Tftpd.exe 文件成为 %System%\Wins\svchost.exe 文件。
注意:Svchost.exe 是一种合法程序并非恶意程序,因此,赛门铁克防毒产品无法侦测到它。
将子键
RpcPatch
和
RpcTftpd
加入注册键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
建立下列服务:
服务名称:RpcTftpd
服务显示名称:网络联机共享
服务二进制文件:%System%\wins\svchost.exe
此服务将设定为手动启动。
服务名称:RpcPatch
服务显示名称:WINS Client
服务二进制文件:%System%\wins\dllhost.exe
此服务将设定为自动启动。
结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\msblast.exe 文件。
此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。
此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。
一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。
在受入侵的主机上建立一个远程 shell,然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。
在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。
检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。
一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。
检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。
Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。
Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。
Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。
Symantec Gateway Security
2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 完整的应用程序检查防火墙技术可以对此 Microsoft 漏洞提供保护,默认情况下禁止上面列出的所有 TCP 端口。为了最大程度地保证安全,第三代完整的应用程序检查技术会智能地禁止通过 HTTP 信道进行的 DCOM 通信,从而提供大多数普通网络过滤防火墙尚不具备的额外保护层。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 7 发布了特别针对 W32.Welchia.Worm 的签名以侦测 W32.Welchia.Worm 的更多特征。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:
使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。
使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。
W32.Welchia.Worm 运行时会运行下列动作:
此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
此蠕虫也会试图移除 W32.Blaster.Worm。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。
也称为: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [KAV]
类型: Worm
感染长度: 10,240 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX
CVE 参考: CAN-2003-0109, CAN-2003-0352
有效载荷:
删除文件: 删除 msblast.exe。
造成系统不稳定: 由于 RPC 服务当机,故易受威胁的Windows 2000 机器会遭遇系统不稳。
危及安全设置: 在所有受感染的机器上安装 TFTP 服务器。
分发
端口: TCP 135(RPC DCOM), TCP 80(WebDav)
当 W32.Welchia.Worm 运行时,它会运行下列动作:
将自身复制到:%System%\Wins\Dllhost.exe
注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
复制 %System%\Dllcache\Tftpd.exe 文件成为 %System%\Wins\svchost.exe 文件。
注意:Svchost.exe 是一种合法程序并非恶意程序,因此,赛门铁克防毒产品无法侦测到它。
将子键
RpcPatch
和
RpcTftpd
加入注册键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
建立下列服务:
服务名称:RpcTftpd
服务显示名称:网络联机共享
服务二进制文件:%System%\wins\svchost.exe
此服务将设定为手动启动。
服务名称:RpcPatch
服务显示名称:WINS Client
服务二进制文件:%System%\wins\dllhost.exe
此服务将设定为自动启动。
结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\msblast.exe 文件。
此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。
此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。
一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。
在受入侵的主机上建立一个远程 shell,然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。
在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。
检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。
一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。
检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。
Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。
Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。
Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。
Symantec Gateway Security
2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 完整的应用程序检查防火墙技术可以对此 Microsoft 漏洞提供保护,默认情况下禁止上面列出的所有 TCP 端口。为了最大程度地保证安全,第三代完整的应用程序检查技术会智能地禁止通过 HTTP 信道进行的 DCOM 通信,从而提供大多数普通网络过滤防火墙尚不具备的额外保护层。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 7 发布了特别针对 W32.Welchia.Worm 的签名以侦测 W32.Welchia.Worm 的更多特征。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
bosshoss 2003-08-24
- 打赏
- 举报
没问题,我一个一个来!
W32.Sobig.F@mm
是具有网络意识的群发邮件蠕虫,它将自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址:
.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt
电子邮件例程详细信息
所发送的电子邮件具有下列特征:
发件人:虚假地址(即“发件人”字段中的发件人极有可能不是真正的发件人)。蠕虫可能会将地址 admin@internet.com 作为发件人。
主题:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
正文:
See the attached file for details
Please see the attached file for details.
附件:
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
注意:蠕虫将在 2003 年 9 月 10 日停止活动,因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。
执行 W32.Sobig.F@mm 时,该蠕虫会执行下列操作:
将自身复制为 %Windir%\winppr32.exe。
注意:%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。
创建下列文件:
%Windir%\winsst32.dat
将值:
"TrayX"="%Windir%\winppr32.exe /sinc"
添加到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这样蠕虫便可在 Windows 启动时运行。
试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。
Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。
该功能也可被蠕虫用于自我更新。 在合适的时机,Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器,蠕虫在拿到一个 URL 后用它找到特洛伊木马程序,并将其下载到本地计算机后执行。
对于 Sobig.F,这个合适的时机是指:
格林威治时间(格林威治时间加 8 小时换算成北京时间)的星期一或星期五
格林威治时间的晚 7 点到 晚 11:59:59
Sobig.F 通过联系几台服务器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网络时间协议) 以查知格林威治时间。
蠕虫向主服务器的 8998/udp 埠发送探测包,主服务器随后发还一个 URL,蠕虫就到这个 URL 下载特洛伊木马程序。
Sobit.E 还会打开下列埠:
995/udp
996/udp
997/udp
998/udp
999/udp
并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析,在收到到具有某特定签名的数据包后,蠕虫的主服务器清单会被更新。
建议网络管理员执行下面的操作:
停止 99x/udp 埠的入站通讯。
停止 8898/udp 埠的出站通讯。
监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Sobig.F 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
注意:如果您在网络上或一直保持与 Internet 的连接,请断开计算机与网络或 Internet 的连接。在重新连接到网络之前,请从网络中的所有计算机中消除此威胁。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。有关指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹尽可能的保护网络。
重要信息:请不要跳过此步骤。尝试杀除此蠕虫之前,请断开网络连接。。
禁用系统还原(Windows Me/XP)。
更新病毒定义。
执行下列操作之一:
Windows 95/98/Me:以安全模式重新启动计算机。
Windows NT/2000/XP:终止特洛伊木马进程。
运行完整的系统扫描,并删除所有被检测为 W32.Sobig.F@mm 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winppr32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Sobig.F@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
"TrayX"="%Windir%\winppr32.exe /sinc"
退出注册表编辑器。
W32.Sobig.F@mm
是具有网络意识的群发邮件蠕虫,它将自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址:
.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt
电子邮件例程详细信息
所发送的电子邮件具有下列特征:
发件人:虚假地址(即“发件人”字段中的发件人极有可能不是真正的发件人)。蠕虫可能会将地址 admin@internet.com 作为发件人。
主题:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details
正文:
See the attached file for details
Please see the attached file for details.
附件:
application.zip (contains application.pif)
details.zip (contains details.pif)
document_9446.zip (contains document_9446.pif)
document_all.zip (contains document_all.pif)
movie0045.zip (contains movie0045.pif)
thank_you.zip (contains thank_you.pif)
your_details.zip (contains your_details.pif)
your_document.zip (contains your_document.pif)
wicked_scr.zip (contains wicked_scr.scr)
注意:蠕虫将在 2003 年 9 月 10 日停止活动,因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。
执行 W32.Sobig.F@mm 时,该蠕虫会执行下列操作:
将自身复制为 %Windir%\winppr32.exe。
注意:%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。
创建下列文件:
%Windir%\winsst32.dat
将值:
"TrayX"="%Windir%\winppr32.exe /sinc"
添加到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这样蠕虫便可在 Windows 启动时运行。
试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。
Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。
该功能也可被蠕虫用于自我更新。 在合适的时机,Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器,蠕虫在拿到一个 URL 后用它找到特洛伊木马程序,并将其下载到本地计算机后执行。
对于 Sobig.F,这个合适的时机是指:
格林威治时间(格林威治时间加 8 小时换算成北京时间)的星期一或星期五
格林威治时间的晚 7 点到 晚 11:59:59
Sobig.F 通过联系几台服务器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网络时间协议) 以查知格林威治时间。
蠕虫向主服务器的 8998/udp 埠发送探测包,主服务器随后发还一个 URL,蠕虫就到这个 URL 下载特洛伊木马程序。
Sobit.E 还会打开下列埠:
995/udp
996/udp
997/udp
998/udp
999/udp
并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析,在收到到具有某特定签名的数据包后,蠕虫的主服务器清单会被更新。
建议网络管理员执行下面的操作:
停止 99x/udp 埠的入站通讯。
停止 8898/udp 埠的出站通讯。
监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用 W32.Sobig.F 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Sobig.F@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
注意:如果您在网络上或一直保持与 Internet 的连接,请断开计算机与网络或 Internet 的连接。在重新连接到网络之前,请从网络中的所有计算机中消除此威胁。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。有关指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹尽可能的保护网络。
重要信息:请不要跳过此步骤。尝试杀除此蠕虫之前,请断开网络连接。。
禁用系统还原(Windows Me/XP)。
更新病毒定义。
执行下列操作之一:
Windows 95/98/Me:以安全模式重新启动计算机。
Windows NT/2000/XP:终止特洛伊木马进程。
运行完整的系统扫描,并删除所有被检测为 W32.Sobig.F@mm 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
2. 更新病毒定义
Symantec 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”选项卡。
双击“映像名称”列标题,按字母顺序对进程排序。
滚动列表并查找 Winppr32.exe。
如果找到该文件,则单击此文件,然后单击“结束进程”。
退出“任务管理器”。
4. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Sobig.F@mm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
"TrayX"="%Windir%\winppr32.exe /sinc"
退出注册表编辑器。
sunmc 2003-08-24
- 打赏
- 举报
能否提供一下特征,怎样会感染,怎样防范,谢了。
加载更多回复(1)
摘要:从计算机与网络有了连接,就产生了计算机病毒,此时已经是网络发达的时代, 计算机病毒也是层出不穷,研究人员针对计算机病毒做出了完整的定义,并分析了病毒 的种类和存在模式,以方便于防范和诊治。...
