请输入您要查询的百科知识:

 

词条 W32.Badtrans.gen@mm
释义

简介

发现: 2001 年 4 月 11 日

更新: 2007 年 2 月 13 日 11:38:29 AM

别名: W32/Badtrans-A [Sophos], W32/Badtrans@MM [McAfee], BadTrans, I-Worm.Badtrans [KAV], WORM_BADTRANS.A [Trend], TROJ_BADTRANS.A [Trend], Win32.Badtrans.13312 [CA], Pws-AV Trojan, W32.Badtrans.13312@mm, Trojan.Psw.Hooker

类型: Worm

感染长度: 13,312 bytes

受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考: CVE-2001-0154

由于提交数量的减少,该蠕虫的威胁级别从 4 降到 3。

这是一种 MAPI 蠕虫,它答复电子邮件文件夹中的所有未读邮件,并放入一个特洛伊木马后门程序。

注意:2002 年 10 月 22 日之前的病毒定义会将其检测为 W32.Badtrans.13312@mm。

防护

* 病毒定义(每周 LiveUpdate™) 2001 年 4 月 11 日

* 病毒定义(智能更新程序) 2001 年 4 月 11 日

威胁评估

广度

* 广度级别: Low

* 感染数量: 50 - 999

* 站点数量: More than 10

* 地理位置分布: High

* 威胁抑制: Easy

* 清除: Easy

损坏

* 损坏级别: Medium

* 大规模发送电子邮件: It replies to all unread messages in the message folders within the default MAPI email program.

* 危及安全设置: It drops a backdoor Trojan.

分发

* 分发级别: High

当该蠕虫被执行时,会在 \\Windows 文件夹中放入一个特洛伊木马后门程序 Hkk32.exe,并执行该程序。然后它将自身作为 inetd.exe 复制到 \\Windows 文件夹中,同时在 Win.ini 文件内加入一个 run= 行,并显示如下错误消息:

当计算机下次重新启动时,该蠕虫会等待五分钟,然后使用 MAPI 查找并答复所有未读的电子邮件消息。此外,该蠕虫还使用下列任一文件名将自身附加在邮件中:

Pics.ZIP.scr

images.pif

README.TXT.pif

New_Napster_Site.DOC.scr

news_doc.scr

hamster.ZIP.scr

YOU_are_FAT!.TXT.pif

searchURL.scr

SETUP.pif

Card.pif

Me_nude.AVI.pif

Sorry_about_yesterday.DOC.pif

s3msong.MP3.pif

docs.scr

Humor.TXT.pif

fun.pif

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。

* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

由于 W32.Badtrans.gen@mm 对不同操作系统的影响方式不同,因此如何杀除该蠕虫取决于您的操作系统。请按顺序执行下列操作。

杀除蠕虫

1. 运行 LiveUpdate,确保您的病毒定义是最新的。

2. 启动 Norton AntiVirus (NAV),然后运行完整的系统扫描,并确保 NAV 设置为扫描所有文件。

3. 删除所有被检测为 W32.Badtrans.gen@mm 的文件。下一步操作取决于 NAV 能否删除被检测为受 W32.Badtrans.gen@mm 感染的文件:

* 如果 NAV 能够删除被检测为受感染的所有文件,请执行下列操作之一:

+ 如果运行的是 Windows 95/98/Me,请跳到“编辑 Win.ini 文件”部分。

+ 如果运行的是 Windows NT/2000 并且 NAV 能够删除所有受感染的文件,则操作完成。

* 如果 NAV 不能删除被检测为受感染的所有文件,请继续下一部分,并根据您的操作系统参阅相应的指导。

删除 NAV 不能删除的文件

如果 NAV 不能删除被检测为受 W32.Badtrans.13312@mm 感染的文件,请根据您的操作系统参阅相应的指导。

* Windows 95/98/Me

1. 以安全模式重新启动计算机。有关如何以安全模式重新启动计算机的指导,请参阅文档:如何以安全模式重新启动 Windows 9x 或 Windows Me。

2. 再次运行扫描,并删除所有被检测为 W32.Badtrans.gen@mm 的文件。

3. 扫描完成后,请跳到“编辑 Win.ini 文件”部分。

Windows NT/2000/XP

1. 同时按下 Ctrl+Alt+Delete。

2. 单击“任务管理器”。

3. 单击“进程”选项卡。

4. 单击“映像名称”列标题两次,按字母顺序对进程排序。

5. 滚动列表并查找 inetd.exe 文件,如果找到该文件,则单击此文件,然后单击“结束进程”。

6. 滚动列表并查找 Kern32.exe。如果找到该文件,则单击此文件,然后单击“结束进程”。

7. 关闭任务管理器。

8. 在 Windows 桌面上用鼠标右键单击“我的电脑”,然后单击“资源管理器”。

9. 执行下列操作之一:

o 如果运行的是 Windows NT,请单击“查看”菜单,再单击“文件夹选项”。

o 如果运行的是 Windows 2000/XP,请单击“工具”菜单,再单击“文件夹选项”。

10. 单击“查看”选项卡。

11. 执行下列操作之一:

o 如果运行的是 Windows NT,请单击“显示所有文件”,并取消选中“隐藏已知文件类型的扩展名”,然后单击“确定”。

o 如果运行的是 Windows 2000/XP,请单击“显示所有文件和文件夹”,并取消选中“隐藏已知文件类型的扩展名”。

12. 在 Windows 资源管理器的左窗格中,用鼠标右键单击驱动器 C ,然后单击“查找”(Windows NT) 或“搜索”(Windows 2000/XP)。

13. 在“名称”或“要查找的文件或文件夹名为”框中,键入(或复制并粘贴)下列文件名:

inetd.exe kern32.exe hkk32.exe hksdll.dll

14. 单击“开始查找”或“立即搜索”。

15. 搜索完成后,记录下所显示文件的名称及位置。

16. 单击“编辑”菜单,然后单击“全部选定”。

17. 按住 Shift 键,再按 Delete 键。持续按住 Shift 键直到出现删除确认提示。单击“是”。(按住 Shift 键的同时按 Delete 键可不经回收站直接删除文件。)

18. 关闭 Windows 资源管理器。

19. 继续“编辑注册表”部分。

编辑注册表

警告:强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。请只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。

1. 单击“开始”,再单击“运行”。“运行”对话框出现。

2. 键入 regedit,再单击“确定”。注册表编辑器打开。

3. 导航至下列键

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\

Windows\\CurrentVersion\\RunOnce

4. 在右窗格中,删除下列值

Kernel32 KERN32.EXE

5. 导航至下列键

HKEY_CURRENT_USER\\Software\\Microsoft\\

Windows NT\\CurrentVersion\\Windows

6. 在右窗格中,删除下列值

run <path>\\Inetd.exe

7. 退出注册表编辑器。

8. 重新启动计算机。

9. 再次运行扫描,并删除所有被检测为 W32.Badtrans.13312@mm 的文件。至此,对于 Windows NT/2000 用户而言,杀毒过程完成。

编辑 Win.ini 文件

如果运行的是 Windows 95/98/Me,还必须执行下列操作:

1. 单击“开始”,再单击“运行”。

2. 键入下列内容,然后单击“确定”:

edit c:\\windows\\win.ini

注意:如果 Windows 安装在其他位置,请用正确的路径替换上面相应的内容。

3. 在 [windows] 部分,找到 run= 一行。该行应与下列行类似:

run=c:\\windows\\inetd.exe

4. 删除 = 号右侧的文本,使该行如下所示:

run=

5. 保存更改,然后退出 MS-DOS 编辑器。

描述者: Peter Ferrie

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 13:41:50