W32.Dumaru@mm

bosshoss 2003-08-24 10:56:00


W32.Dumaru@mm 是一种会寄发大量邮件的蠕虫,它会将 IRC 特洛伊木马程序安装在受感染的计算机上。此蠕虫会从某种文件类型收集电子邮件地址,然后使用其自身的 SMTP 引擎让自己随电子邮件寄送出去。


受感染的电子邮件具有下列特征:

发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe

此威胁是以 Microsoft C++ 程序语言撰写,并以 UPX 压缩而成。

有效载荷: 将 IRC 特洛伊木马程序安装在受感染的计算机上。
大量电子邮件发送: 将自己寄给在 .htm、.wab、.html、.dbx、.tbb、.abd 文件中找到的所有电子邮件地址。
修改文件: win.ini, system.ini
分发

电子邮件主题: Use this patch immediately !
附件名称: patch.exe
附件大小: 9,216


如果运行 W32.Dumaru@mm,它会进行以下动作:

将自身复制为下列文件:
%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe

注意:
此处的 %windir% 是变量,蠕虫会自行找到 Windows 安装数据夹 (预设为 C:\Windows 或 C:\Winnt) 并将自己复制过去。
%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
建立 %Windir%\windrv.exe 文件 (8,192 字节),为 IRC 特洛伊木马程序。一旦运行,它会连接至预先定义的IRC 服务器,然后加入特定的频道以听从蠕虫撰写者的指令。

建立 %Windir%\winload.log 日志文件。此蠕虫会用它来储存偷到的电子邮件地址。
注意:此日志文件本身并不是病毒,也无法被赛门铁克的防毒产品所侦测。若您的系统遭受此蠕虫的感染,您必须手动删除它。

新增下列值:
"load32" = "%Windir%\load32.exe"

至注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便当您启动 Windows 时蠕虫能够自动运行。

修改 win.ini 檔中的 windows 区段 (仅适用于 Windows 95/98/Me):
[windows]
run=%Windir%\dllreg.exe

修改 system.ini 檔中的 boot 区段 (仅适用于 Windows 95/98/Me):
[boot]
shell=explorer.exe %System%\vxdmgr32.exe

在具有下列扩展名的文件里找到电子邮件地址:
.htm
.wab
.html
.dbx
.tbb
.abd
使用自身的 SMTP 引擎让自己随电子邮件寄送出去。
受感染的电子邮件具有下列特征:
发信人:"Microsoft" <security@microsoft.com>
主题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:patch.exe

Symantec Gateway Security
2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。

Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。

Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Dumaru_Worm Policy。

Symantec ManHunt
发布了 Security Update 7 以提供针对 W32.Dumaru@mm 的签名。

Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。

Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Dumaru@mm 活动。






赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。


使用 W32.Dumaru@mm 杀毒工具进行杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Dumaru@mm 的工具。这是消除此威胁的最简便方法。单击此处可获取该工具。

手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
禁用系统还原(Windows Me/XP)。
更新病毒定义文件。
运行完整的系统扫描,删除所有侦测到的 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件。
删除新增至注册表里的值。
移除蠕虫新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)。
如需关于这些步骤的详细信息,请阅读下列指示。

1. 禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。

此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。

有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。

2. 更新病毒定义文件
赛门铁克在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果有任何文件被检测为感染了 W32.Dumaru@mm 或 IRC 特洛伊木马程序文件,请单击“删除”。
4. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
按下“开始”,然后按下“运行”。(画面上便会出现“运行”对话框。)
输入 regedit 并按下“确定”。(“注册表编辑器”会开启。)
跳到这个键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除右边窗格中的值:
"load32"="%Windir%\load32.exe"

结束并离开“注册表编辑器”。
5. 移除新增至 Win.ini 或 System.ini 文件中的行 (仅适用于 Windows 95/98/Me)
如果您运行的是 Windows 95/98/Me,请遵循下列步骤:
您所运行的功能会根据操作系统而有所不同:
Windows 95/98:
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。

...全文
39 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
bosshoss 2003-08-24
  • 打赏
  • 举报
回复
edit c:\windows\win.ini
(接着会开启 MS-DOS 编辑器。)

注意:如果 Windows 安装在不同位置,请做适当的路径变更。

在文件中的 [windows] 区段,寻找与以下类似的行:
run=%Windir%\dllreg.exe

如果此行存在,请删除 run= 右边的所有文字。完成后,应该如下所示:
run=

按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
按下“开始”,然后按下“运行”。
输入下列字符串,然后按下“确定”。

edit c:\windows\system.ini
(接着会开启 MS-DOS 编辑器。)

注意:如果 Windows 安装在不同位置,请做适当的路径变更。

在文件中的 [boot] 区段,寻找与以下类似的行:
shell = explorer.exe %Windir%\vxdmgr32.exe

如果此行存在,请删除 explorer.exe 右边的所有文字。完成后,应该如下所示:
shell = explorer.exe

按下“文件”,再按下“存盘”。
按下“文件”,然后按下“离开”。
Windows Me:如果您运行的是 Windows Me,那么 Windows Me 的文件保护处理程序可能已经为您必须编辑的 Win.ini 或 system.ini 档制作了的备份副本。如果备份副本存在,它们会储存在 C:\Windows\Recent 文件夹中。赛门铁克建议您在继续进行本节步骤之前,先删除此备份文件。若要完成此项操作:
启动“Windows 文件管理器”。
浏览并选取 C:\Windows\Recent 文件夹。
在右边窗格中,选取 Win.ini 并加以删除。当您重新启动计算机后,会重新产生此 Win.ini 文件。
在右边窗格中,选取 System.ini 档并加以删除。当您重新启动计算机后,会重新产生此 System.ini 文件。

9,505

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧