请输入您要查询的百科知识:

 

词条 W32.Bugbear@mm
释义

简介

发现: 2002 年 9 月 30 日更新: 2007 年 2 月 13 日 11:41:29 AM

别名: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]

类型: Worm

感染长度: 50,688 bytes

受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考: CVE-2001-0154

注意

由于提交率的减少,Symantec 安全响应中心自 2003 年10 月 24 日起将此威胁级别从 3 类降级为 2 类。

W32.Bugbear@mm是一种群发邮件蠕虫。 它也能通过网络共享扩散。它具有纪录键盘输入和预留后门能力。该蠕虫也会尝试着关闭各种防病毒和防火墙程序。

它在 Microsoft Visual C++ 下编写并通过UPX v0.76.1-1.22压缩。

防护

* 病毒定义(每周 LiveUpdate™) 2002 年 9 月 30 日

* 病毒定义(智能更新程序) 2002 年 9 月 30 日

威胁评估

广度

* 广度级别: Low

* 感染数量: More than 1000

* 站点数量: More than 10

* 地理位置分布: High

* 威胁抑制: Moderate

* 清除: Moderate

损坏

* 损坏级别: Medium

* 大规模发送电子邮件: Attemps to mass-mail to addresses harvested from a compromised host using it's own SMTP engine

* 危及安全设置: May allow unauthorized access to compromised machines. Attempts to terminate processes of various antivirus and firewall programs.

分发

* 分发级别: High

* 电子邮件的主题: Variable

* 附件名称: Variable, with double extension ending in .exe, .scr, or .pif

* 附件大小: 50,688 bytes

* 端口: 36794

* 共享驱动器: Attempts to connect to available network resources

W32.Bugbear@mm 运行时,将执行下列操作:

它会将自己复制到%system%\\****.exe, * 代表蠕虫选择的字母。

注意事项

%System% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP),然后将自身复制到该位置。

它会将自己复制到\\Startup\\****.exe, * 代表病毒选择的字母。例如:

o 在Windows 95/98/Me下,它可能将自己复制到C:\\Windows\\Start Menu\\Programs\\Startup\\Cuu.exe

o 在Windows NT/2000/XP 下,它可能将自己复制到C:\\Documents and Settings\\< current user name>\\Start Menu\\Programs\\Startup\\Cti.exe

它在%system%文件夹中创建 三个加密的 .dll 文件,在%windir%文件夹中创建两个加密的 .dat 文件。其中的一个 .dll 文件会被蠕虫用来将 Hook(挂钩)程序安装到 Hook Chain(挂钩链)来监视系统的键盘和鼠标输入。此类的挂钩链程序会将收到的信息传递到当前链的下一个环节中。该链使得病毒能够解读键盘输入。该 .dll 文件大小为 5,632 字节。赛门铁克 防病毒产品将其标识为PWS.Hooker.Trojan。下面是该程序的图解:

(图中说明文字:PWS.Hooker.Trojan 拦截键盘输入讯息,将其处理后传递至挂钩链的下一个挂钩程序。)

拦截到的键盘输入讯息可能是用户的登录信息、密码、信用卡号等等。不论这些信息最终是否加密后通过隐秘通道传输,骇客都能侦测或掌握它们。

Symantec 防病毒产品检测不到的文件没有危害性。该蠕虫会使用一些文件存储一个加密的内部设置信息。这些文件需要被删除。例如,

o %system%\\Iccyoa.dll

o %system%\\Lgguqaa.dll

o %system%\\Roomuaa.dll

o %windir%\\Okkqsa.dat

o %windir%\\Ussiwa.dat

注意: %windir% 是一个变量。 蠕虫会找到 \\Windows 文件夹(默认位置是 C:\\Windows 或 C:\\Winnt),然后将自身复制到该位置。

它在注册表键

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

创建下列值

<random letters> <the worm filename>

注意: 通常, 操作系统会在启动这些值所指的程序时从键中删除这些值。由此,蠕虫能重新创建这些值以使自己在 Windows 启动时启动。

该病毒具有四种危害。一,每隔 30 秒钟它会阻止下列程序在系统中运行:

单击箭头打开程序清单

该病毒会根据不同的操作系统选择不同的方法来达到目的。

群发邮件危害

它会在当前的信箱和文件中,找寻具有下列扩展名的email 地址:

o .mmf

o .nch

o .mbx

o .eml

o .tbb

o .dbx

o .ocs

蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器和电子邮件地址:

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Account Manager\\Accounts

接着,蠕虫使用自己的 SMTP 引擎将自身发送到所有找到的电子邮件地址。蠕虫也能使用在受感染计算机上收集的信息来构造发信人地址栏。比如,如果蠕虫发现下列地址:a@a.com,b@b.com 和 c@c.com,它会使用一个名为 “c@b.com” 的发信人地址向 “a@a.com” 地址发信。蠕虫有时也会冒用找到的合法电子邮件地址。

除下列 Email 信息主题外,蠕虫也会回复、转发受感染电脑上现有的邮件。

单击箭头打开清单

该蠕虫从下列注册表键读取 Personal 值的内容:

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders

并列出在此存储的文件,默认值为: C:\\My Documents 在 Windows 95/98/Me 和 C:\\Documents and Settings\\<User Name>\\My Documents 在 Windows NT/2000/XP。 这些文件名会被用来组成病毒附件文件的名称。该文件名可能包含下列字符串:

o readme

o Setup

o Card

o Docs

o news

o image

o images

o pics

o resume

o photo

o video

o music

o song

o data

文件扩展名会是下列其中之一:

o .scr

o .pif

o .exe

如果蠕虫使用 My Documents 文件夹中的一个文件名,它会“调整” email 信息的类型使其符合文件扩展名。这些扩展名包括:

o .reg

o .ini

o .bat

o .diz

o .txt

o .cpp

o .html

o .htm

o .jpeg

o .jpg

o .gif

o .cpl

o .dll

o .vxd

o .sys

o .com

o .exe

o .bmp

信息的内容类型会被修改为如下列所示:

o text/html

o text/plain

o application/octet-stream

o image/jpeg

o image/gif

邮件信息也许会使用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文文档) 之类的弱点在未防护的系统上自动执行。

威胁三是一种后门程式。它会打开端口 36794 用来监听骇客发出的指令,包括:

o 删除文件

o 结束程序

o 列出程序清单并将其发送给骇客

o 拷贝文件

o 开启程序

o 列出文件清单并将其发送给骇客

o 拦截的键盘输入并将其发送给骇客,比如密码、登录信息等。

o 将系统信息以下列格式传送给骇客:

+ 用户名: <用户名称>

+ 处理器: <所用处理器>

+ Windows 版本:<Windows 版本,build 号码>

+ 内存信息: <可用内存,等等。>

+ 显示本机磁盘及类型 (比如 Ramdisk/CD-Rom/Remote/Fixed/Removable,以及硬件特征。

o 列出网络资源及其类型并将资料传送给骇客

如果操作系统是 Windows 95/98/Me, 蠕虫会试图取得缓存中的密码。缓存中的密码包括拨号网络密码、URL密码、共享文件目录密码等等。该功能通过未正式纪录的 WnetEnumCachedPasswords 来实现,这个功能只存在于 Windows95/98/Me 下的 Mpr.dll 文件中。

蠕虫后门程序接受的指令需要密码确认,指令和必要的指令参数紧跟其后。比如,下面是指令 “i” 对应的屏幕信息:

Server: '<ISCHIA>'

User: 'Ischia'

Processor: I586

Win32 on Windows 95 v4.10 build 1998

-

Memory: 127M in use: 50% Page file: 1920M free: 1878M

C:\\ - Fixed Sec/Clust: 64 Byts/Sec: 512, Bytes free: 2147155968/2147155968

D:\\ - CD-ROM

Network:

unknow cont (null) (Microsoft Network)

unknow cont (null) (Microsoft Family Logon)

“h” 指令允许特洛伊木马组件利用 HTTP 80 端口传送数据。后门程序操作的结果可以以 HTML 页面形式表现出来。这样一来骇客就能轻易浏览遭侵害计算机上的资源。 比如,假设被入侵的电脑是“Ischia”,下面是该参数的执行情况:

远端使用者可向该计算机上传文件。单击窗口中的 .txt 文件,文档内容会显示在一个浏览器中。单击其他文件则会出现一个下载窗口来下载该文件。

威胁四是蠕虫通过网络的传播。为此,蠕虫列出网络中的所有资源。当它找到开放的管理员共享目录后,会试图将自己复制到远端计算机的 Startup 目录。这样一来,受到侵害的计算机一旦开机便会感染。

因为蠕虫不能适当区别网络资源类型,它可能会使打印机资源溢出导致其打印出乱码或发生故障。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。

* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

重要信息

* 移除蠕虫前请先断开计算机与 Internet 的连接。在重新连入网络前,请先关闭或使用密码保护共享文件夹,或设置共享文件夹为“只读”。更多信息请参照 How to configure shared Windows folders for maximum network protection。

* 从网络中清除蠕虫前,确认每个共享资料夹已关闭或设为“只读”。

使用 W32.Bugbear@mm 杀毒工具

这是最简单快速的方法。单击这里获取杀毒工具。

手动删除

作为杀毒工具的替代,您也可以依照下列说明手动删除。

注意:以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义。

2. 将计算机重新启动到安全模式。

3. 执行完整的系统扫描,删除所有探测到的 W32.Bugbear@mm文件。

4. 从下列注册表键中删除蠕虫所加入的值:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

有关如何完成此操作的详细信息,请参阅下列指导。

获得最新的病毒定义

注意:如果蠕虫当前驻存在计算机中,您将不能够运行 LiveUpdate。这种情况下,您必须使用智能更新程序来下载病毒定义。

获得方法

o 运行 LiveUpdate,这是获得病毒定义最简便的方法。 这些病毒定义经过 Symantec 安全响应中心的全面质量监控检测,如果未遇重大病毒爆发情况,会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。

o 使用“智能更新程序”下载病毒定义。 “智能更新程序”病毒定义已经过 Symantec 安全响应中心的全面质量监控检测, 会在工作日(周一至周五,美国时间)发布。 必须从 Symantec 安全响应中心 Web 站点下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。

“智能更新程序” 病毒定义可从此处获得。 有关如何从 Symantec 安全响应中心 Web 站点下载和安装“智能更新程序”病毒定义的详细指导,请单击此处。

以安全模式重新启动计算机。 除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。 有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。

1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。

* NAV 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32. Bugbear@mm,请单击“删除”。

从注册表删除值:

警告:Symantec 强烈建议在更改注册表之前先进行备份。 如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。 请仅修改指定的键。 有关指导,请参阅文档:如何备份 Windows 注册表。

1. 单击“开始”,然后单击“运行”。 出现“运行”对话框。

2. 键入 regedit,然后单击“确定”。 将打开“注册表编辑器”。

3. 浏览到以下键:

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

4. 在右边的窗口中,找到蠕虫文件所参照值并删除。

5. 退出注册表键编辑器。

描述者: Yana Liu

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 13:22:07