词条 | W32.Badtrans.gen@mm |
释义 | 简介发现: 2001 年 4 月 11 日 更新: 2007 年 2 月 13 日 11:38:29 AM 别名: W32/Badtrans-A [Sophos], W32/Badtrans@MM [McAfee], BadTrans, I-Worm.Badtrans [KAV], WORM_BADTRANS.A [Trend], TROJ_BADTRANS.A [Trend], Win32.Badtrans.13312 [CA], Pws-AV Trojan, W32.Badtrans.13312@mm, Trojan.Psw.Hooker 类型: Worm 感染长度: 13,312 bytes 受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP CVE 参考: CVE-2001-0154 由于提交数量的减少,该蠕虫的威胁级别从 4 降到 3。 这是一种 MAPI 蠕虫,它答复电子邮件文件夹中的所有未读邮件,并放入一个特洛伊木马后门程序。 注意:2002 年 10 月 22 日之前的病毒定义会将其检测为 W32.Badtrans.13312@mm。 防护* 病毒定义(每周 LiveUpdate™) 2001 年 4 月 11 日 * 病毒定义(智能更新程序) 2001 年 4 月 11 日 威胁评估 广度 * 广度级别: Low * 感染数量: 50 - 999 * 站点数量: More than 10 * 地理位置分布: High * 威胁抑制: Easy * 清除: Easy 损坏* 损坏级别: Medium * 大规模发送电子邮件: It replies to all unread messages in the message folders within the default MAPI email program. * 危及安全设置: It drops a backdoor Trojan. 分发 * 分发级别: High 当该蠕虫被执行时,会在 \\Windows 文件夹中放入一个特洛伊木马后门程序 Hkk32.exe,并执行该程序。然后它将自身作为 inetd.exe 复制到 \\Windows 文件夹中,同时在 Win.ini 文件内加入一个 run= 行,并显示如下错误消息: 当计算机下次重新启动时,该蠕虫会等待五分钟,然后使用 MAPI 查找并答复所有未读的电子邮件消息。此外,该蠕虫还使用下列任一文件名将自身附加在邮件中: Pics.ZIP.scr images.pif README.TXT.pif New_Napster_Site.DOC.scr news_doc.scr hamster.ZIP.scr YOU_are_FAT!.TXT.pif searchURL.scr SETUP.pif Card.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif s3msong.MP3.pif docs.scr Humor.TXT.pif fun.pif 建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”: * 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。 * 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。 * 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。 由于 W32.Badtrans.gen@mm 对不同操作系统的影响方式不同,因此如何杀除该蠕虫取决于您的操作系统。请按顺序执行下列操作。 杀除蠕虫1. 运行 LiveUpdate,确保您的病毒定义是最新的。 2. 启动 Norton AntiVirus (NAV),然后运行完整的系统扫描,并确保 NAV 设置为扫描所有文件。 3. 删除所有被检测为 W32.Badtrans.gen@mm 的文件。下一步操作取决于 NAV 能否删除被检测为受 W32.Badtrans.gen@mm 感染的文件: * 如果 NAV 能够删除被检测为受感染的所有文件,请执行下列操作之一: + 如果运行的是 Windows 95/98/Me,请跳到“编辑 Win.ini 文件”部分。 + 如果运行的是 Windows NT/2000 并且 NAV 能够删除所有受感染的文件,则操作完成。 * 如果 NAV 不能删除被检测为受感染的所有文件,请继续下一部分,并根据您的操作系统参阅相应的指导。 删除 NAV 不能删除的文件如果 NAV 不能删除被检测为受 W32.Badtrans.13312@mm 感染的文件,请根据您的操作系统参阅相应的指导。 * Windows 95/98/Me 1. 以安全模式重新启动计算机。有关如何以安全模式重新启动计算机的指导,请参阅文档:如何以安全模式重新启动 Windows 9x 或 Windows Me。 2. 再次运行扫描,并删除所有被检测为 W32.Badtrans.gen@mm 的文件。 3. 扫描完成后,请跳到“编辑 Win.ini 文件”部分。 Windows NT/2000/XP1. 同时按下 Ctrl+Alt+Delete。 2. 单击“任务管理器”。 3. 单击“进程”选项卡。 4. 单击“映像名称”列标题两次,按字母顺序对进程排序。 5. 滚动列表并查找 inetd.exe 文件,如果找到该文件,则单击此文件,然后单击“结束进程”。 6. 滚动列表并查找 Kern32.exe。如果找到该文件,则单击此文件,然后单击“结束进程”。 7. 关闭任务管理器。 8. 在 Windows 桌面上用鼠标右键单击“我的电脑”,然后单击“资源管理器”。 9. 执行下列操作之一: o 如果运行的是 Windows NT,请单击“查看”菜单,再单击“文件夹选项”。 o 如果运行的是 Windows 2000/XP,请单击“工具”菜单,再单击“文件夹选项”。 10. 单击“查看”选项卡。 11. 执行下列操作之一: o 如果运行的是 Windows NT,请单击“显示所有文件”,并取消选中“隐藏已知文件类型的扩展名”,然后单击“确定”。 o 如果运行的是 Windows 2000/XP,请单击“显示所有文件和文件夹”,并取消选中“隐藏已知文件类型的扩展名”。 12. 在 Windows 资源管理器的左窗格中,用鼠标右键单击驱动器 C ,然后单击“查找”(Windows NT) 或“搜索”(Windows 2000/XP)。 13. 在“名称”或“要查找的文件或文件夹名为”框中,键入(或复制并粘贴)下列文件名: inetd.exe kern32.exe hkk32.exe hksdll.dll 14. 单击“开始查找”或“立即搜索”。 15. 搜索完成后,记录下所显示文件的名称及位置。 16. 单击“编辑”菜单,然后单击“全部选定”。 17. 按住 Shift 键,再按 Delete 键。持续按住 Shift 键直到出现删除确认提示。单击“是”。(按住 Shift 键的同时按 Delete 键可不经回收站直接删除文件。) 18. 关闭 Windows 资源管理器。 19. 继续“编辑注册表”部分。 编辑注册表警告:强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。请只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。 1. 单击“开始”,再单击“运行”。“运行”对话框出现。 2. 键入 regedit,再单击“确定”。注册表编辑器打开。 3. 导航至下列键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows\\CurrentVersion\\RunOnce 4. 在右窗格中,删除下列值 Kernel32 KERN32.EXE 5. 导航至下列键 HKEY_CURRENT_USER\\Software\\Microsoft\\ Windows NT\\CurrentVersion\\Windows 6. 在右窗格中,删除下列值 run <path>\\Inetd.exe 7. 退出注册表编辑器。 8. 重新启动计算机。 9. 再次运行扫描,并删除所有被检测为 W32.Badtrans.13312@mm 的文件。至此,对于 Windows NT/2000 用户而言,杀毒过程完成。 编辑 Win.ini 文件如果运行的是 Windows 95/98/Me,还必须执行下列操作: 1. 单击“开始”,再单击“运行”。 2. 键入下列内容,然后单击“确定”: edit c:\\windows\\win.ini 注意:如果 Windows 安装在其他位置,请用正确的路径替换上面相应的内容。 3. 在 [windows] 部分,找到 run= 一行。该行应与下列行类似: run=c:\\windows\\inetd.exe 4. 删除 = 号右侧的文本,使该行如下所示: run= 5. 保存更改,然后退出 MS-DOS 编辑器。 描述者: Peter Ferrie |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。