词条 | W32.Badtrans.B@mm |
释义 | W32.Badtrans.B@mm 是一个 MAPI 蠕虫,它使用不同的文件名将自己通过电子邮件的形式发送出去。它还创建文件 \\Windows\\System\\Kdll.dll。它使用该文件中的函数记录键击。 基本信息发现: 2001 年 11 月 24 日 更新: 2007 年 2 月 13 日 11:38:22 AM 别名: I-Worm.BadtransII [KAV], Badtrans.B@mm [Norman], W32/Badtrans.B [Panda], WORM_BADTRANS.B [Trend], W32/Badtrans-B [Sophos], W32/Badtrans.B@mm [F-Secure], W32/BadTrans@MM [McAfee], Win32.Badtrans.29020 [CA], Worm/Badtrans.B [Vexira] 类型: Worm 感染长度: 29,020 bytes 受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP CVE 参考: CVE-2001-0154 由于提交率的降低,Symantec 安全响应中心自 2002 年 7 月 23 日起,将该蠕虫的威胁级别从 4 类降为 3 类。 防护* 病毒定义(每周 LiveUpdate™) 2001 年 11 月 24 日 * 病毒定义(智能更新程序) 2001 年 11 月 24 日 威胁评估广度* 广度级别: Medium * 感染数量: More than 1000 * 站点数量: More than 10 * 地理位置分布: High * 威胁抑制: Moderate * 清除: Moderate 损坏* 损坏级别: Low * 大规模发送电子邮件: Uses MAPI commands to send email. * 危及安全设置: Installs keystroke logging Trojan horse. 分发* 分发级别: High * 附件名称: randomly chosen from preset list * 附件大小: 29,020 bytes 该蠕虫以电子邮件的形式到达,并且使用几个附件名称中的一个以及两个附加扩展名的组合。它包含一组控制其行为的位: 001 记录每个窗口文本 002 加密键日志 004 将日志文件发送到其多个地址中的一个 008 发送高速缓存的密码 010 在指定时间关闭 020 将副本名称用作注册表名称(或者 kernel32) 040 将 kernel32.exe 用作副本名称 080 将当前文件名用作副本路径(跳过 100 检查) 100 复制到 %system%(或者复制到 %windows%) 注意如果 Norton AntiVirus 在某个电子邮件消息中将其检测为 W32.Badtrans@mm.enc(而不是 W32.Badtrans.B@mm),这是由于电子邮件正文中存在 MIME 编码漏洞,只要删除附件就不再有害。建议您删除被检测为 W32.Badtrans.B@mm.enc 的邮件,并通知发件人。我们还强烈推荐您运行完整的系统扫描,确保不存在其他感染。 有关 .enc 检测的其他信息,请阅读文档:什么是 .enc 检测? 行为分析该蠕虫首次执行时,会根据控制位将自身作为 Kernel32.exe 复制到 %System% 或 %Windows%。然后将自己注册为服务进程(仅 Windows 9x/Me)。它创建键日志文件 %System%\\Cp_25389.nls 并放入包含键日志代码的 %System%\\Kdll.dll 文件。 注意:%Windows% 和 %System% 是变量。该蠕虫会找到 \\Windows 文件夹(默认位置为 C:\\Windows 或 C:\\Winnt)或 \\System 文件夹(默认位置为 C:\\Windows\\System 或 C:\\Winnt\\System32),然后将自身复制到其中。 该蠕虫使用计时器每秒检查一次当前打开的窗口,并查找前三个字符包含下列任意内容的窗口标题: * LOG * PAS * REM * CON * TER * NET 这些文本构成 LOGon、PASsword、REMote、CONnection、TERminal、NETwork 等词的开头。该列表中还包含这些词对应的俄语版本。如果发现这些词中的任意一个,该蠕虫就会启用键记录 60 秒。日志文件和高速缓存的密码每 30 秒就会向下列任一地址或其他当前未操作的地址发送一次: * ZVDOHYIK@yahoo.com * udtzqccc@yahoo.com * DTCELACB@yahoo.com * I1MCH2TH@yahoo.com * WPADJQ12@yahoo.com * smr@eurosport.com * bgnd2@canada.com * muwripa@fairesuivre.com * eccles@ballsy.net * S_Mentis@mail-x-change.com * YJPFJTGZ@excite.com * JGQZCD@excite.com * XHZJ3@excite.com * OZUNYLRL@excite.com * tsnlqd@excite.com * cxkawog@krovatka.net * ssdn@myrealbox.com 如果设置了适当的控制位,该蠕虫在 20 秒后会关闭。 如果该计算机有 RAS 支持,则该蠕虫会等待活动的 RAS 连接。在建立此类连接后,该蠕虫有 33% 的可能性会在 %Personal% 和 Internet Explorer %Cache% 的 *.ht* 和 *.asp 文件中搜索电子邮件地址。如果在这些文件中找到地址,就会使用受害人的 SMTP 服务器向这些地址发送邮件。如果该服务器不可用,该蠕虫会从它自己的列表中选择一个。附件名称会为以下列表中的任意一个: * Pics * images * README * New_Napster_Site * news_doc * HAMSTER * YOU_are_FAT! * stuff * SETUP * Card * Me_nude * Sorry_about_yesterday * info * docs * Humor * fun 在所有情况下,该蠕虫还会使用 MAPI 来查找未读的邮件以便进行答复。答复邮件的主题为“Re:”。在这种情况下,附件名称会为以下列表中的任意一个: * PICS * IMAGES * README * New_Napster_Site * NEWS_DOC * HAMSTER * YOU_ARE_FAT! * SEARCHURL * SETUP * CARD * ME_NUDE * Sorry_about_yesterday * S3MSONG * DOCS * HUMOR * FUN 在所有情况下,该蠕虫都会附加两个扩展名。第一个扩展名为下面列出的任意一个: * .doc * .mp3 * .zip 附加到文件名的第二个扩展名会为下面列出的任意一个: * .pif * .scr 组成的文件名类似于 CARD.doc.pif 或 NEWS_DOC.mp3.scr。 如果可以在计算机上找到 SMTP 信息,该信息会被用于“发件人:”字段。否则,“发件人:”字段为下面列出的任意一个: * "Mary L. Adams" <mary@c-com.net> * "Monika Prado" <monika@telia.com> * "Support" <support@cyberramp.net> * " Admin" <admin@gte.net> * " Administrator" <administrator@border.net> * "JESSICA BENAVIDES" <jessica@aol.com> * "Joanna" <joanna@mail.utexas.edu> * "Mon S" <spiderroll@hotmail.com> * "Linda" <lgonzal@hotmail.com> * " Andy" <andy@hweb-media.com> * "Kelly Andersen" <Gravity49@aol.com> * "Tina" <tina0828@yahoo.com> * "Rita Tulliani" <powerpuff@videotron.ca> * "JUDY" <JUJUB271@AOL.COM> * " Anna" <aizzo@home.com> 电子邮件消息利用不正规的 MIME 漏洞,使附件能够在没有提示的情况下就在 Microsoft Outlook 中执行。有关信息,请访问: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 该蠕虫将电子邮件地址写入 %System%\\Protocol.dll 文件以防止将多个电子邮件发送给同一个人。此外,在发件人的电子邮件地址之前加上下划线 ( _ ) 字符,防止通过答复受感染的邮件来警告发件人(例如,user@website.com 变为 _user@website.com)。 在发送邮件后,该蠕虫会将值 Kernel32 kernel32.exe 添加到注册表键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce 这会导致蠕虫在您下次启动 Windows 时运行。该值可能会因上文提到的控制位的不同而不同。 建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”: * 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。 * 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。 * 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。 杀除该蠕虫的首选方法是使用 W32.Badtrans.B@mm 杀毒工具。如果出于某些原因无法获得该工具,则必须手动杀除该蠕虫。 手动杀毒这里提供了有关如何手动杀除 W32.Badtrans.B@mm 的联机教程。 要手动杀除该蠕虫,必须首先删除蠕虫文件,然后还原其对注册表所做的更改。 删除蠕虫文件 请根据您 Windows 的版本,按下面相应部分的指导进行操作。 Windows 95/98/Me/2000/XP由于蠕虫文件可能正被使用,因此大多数情况下必须先以安全模式重新启动,然后 Norton AntiVirus 才能将其删除。 警告:仅针对 Windows Me 或 Windows XP 用户。如果运行的是 Windows Me 或 Windows XP,请先按照本文档末尾的“Windows Me 中的系统还原选项”或“Windows XP 中的系统还原选项”部分中的指导执行操作,然后再开始杀毒步骤。 1. 运行 LiveUpdate,确保您的病毒定义是最新的。 2. 以安全模式重新启动计算机。有关如何执行此操作的指导,请根据您的操作系统参阅相应文档: o 如何以安全模式启动 Windows 2000 o 如何以安全模式启动 Windows XP o 如何以安全模式重新启动 Windows 9x 或 Windows Me 3. 启动 Norton AntiVirus (NAV),并确保 NAV 配置为扫描所有文件。有关如何完成此操作的指导,请参阅文档:如何配置 Norton AntiVirus 以扫描所有文件。 4. 运行完整的系统扫描。 5. 记下所有被检测为 W32.Badtrans.B@mm 的文件的名称,然后将其删除。 6. 扫描完成后,继续“编辑注册表”部分。 Windows NT由于蠕虫文件可能正被使用,因此大多数情况下必须先结束其进程,然后 Norton AntiVirus 才能将其删除。 1. 运行 LiveUpdate,确保您的病毒定义是最新的。 2. 同时按下 Ctrl+Alt+Delete。 3. 单击“任务管理器”。 4. 单击“进程”选项卡。 5. 单击“映像名称”列标题两次,按字母顺序对进程排序。 6. 滚动列表并查找 Kern32.exe。如果找到该文件,则单击此文件,然后单击“结束进程”。 7. 关闭任务管理器。 8. 启动 Norton AntiVirus (NAV),并确保 NAV 配置为扫描所有文件。有关如何完成此操作的指导,请参阅文档:如何配置 Norton AntiVirus 以扫描所有文件。 9. 运行完整的系统扫描。 10. 记下所有被检测为 W32.Badtrans.B@mm 的文件的名称,然后将其删除。 11. 扫描完成后,继续“编辑注册表”部分。 编辑注册表: 警告:强烈建议在进行任何更改之前备份系统注册表。错误地更改注册表可能会导致数据永久丢失或文件损坏。请确保只修改指定的键。继续操作之前,请参阅文档:如何备份 Windows 注册表。 1. 单击“开始”,然后单击“运行”。“运行”对话框出现。 2. 键入 regedit,然后单击“确定”。注册表编辑器打开。 3. 导航至下列键: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce 4. 在右窗格中,删除下列值: Kernel32 kernel32.exe 警告:Kernel32 是该蠕虫最常添加的值,但不是唯一可能添加的值。在某些情况下,它可能不存在。除了查找并删除该值外,还必须查找引用了在运行完全系统扫描时被检测为受此蠕虫感染的所有文件的值。所有这些值都必须删除。 5. 单击“注册表”,然后单击“退出”。 6. 重新启动计算机。 7. 为确保所有文件都已删除,请启动 Norton AntiVirus 并再次运行完整的系统扫描。 隔离文件 如果选择隔离 Norton AntiVirus 检测到的文件,而不是将其删除,请阅读文档:隔离文件后的操作。 Windows Me/XP 中的系统还原选项Windows Me 和 Windows XP 用户应当暂时关闭系统还原功能。此功能在默认情况下是启用的。一旦计算机中的文件遭到破坏,WindowsMe/XP 便使用此功能还原计算机上的文件。当计算机感染了病毒、蠕虫或特洛伊木马后,系统还原功能可能会备份该病毒、蠕虫或特洛伊木马。默认情况下, Windows 禁止外部程序对系统还原功能进行修改。因此,您很有可能会不小心还原受感染的文件,或者联机扫描程序会在该位置检测到威胁。有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一: o 如何禁用或启用 Windows XP 系统还原 o 如何禁用或启用 Windows Me 系统还原 有关其他信息以及禁用 Windows Me 系统还原功能的其他方法,请参阅 Microsoft 知识库文章:Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder,文章 ID:Q263455。 描述者: Peter Ferrie |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。