词条 | W32.Bugbear@mm |
释义 | 简介发现: 2002 年 9 月 30 日更新: 2007 年 2 月 13 日 11:41:29 AM 别名: W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure] 类型: Worm 感染长度: 50,688 bytes 受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP CVE 参考: CVE-2001-0154 注意由于提交率的减少,Symantec 安全响应中心自 2003 年10 月 24 日起将此威胁级别从 3 类降级为 2 类。 W32.Bugbear@mm是一种群发邮件蠕虫。 它也能通过网络共享扩散。它具有纪录键盘输入和预留后门能力。该蠕虫也会尝试着关闭各种防病毒和防火墙程序。 它在 Microsoft Visual C++ 下编写并通过UPX v0.76.1-1.22压缩。 防护* 病毒定义(每周 LiveUpdate™) 2002 年 9 月 30 日 * 病毒定义(智能更新程序) 2002 年 9 月 30 日 威胁评估 广度* 广度级别: Low * 感染数量: More than 1000 * 站点数量: More than 10 * 地理位置分布: High * 威胁抑制: Moderate * 清除: Moderate 损坏* 损坏级别: Medium * 大规模发送电子邮件: Attemps to mass-mail to addresses harvested from a compromised host using it's own SMTP engine * 危及安全设置: May allow unauthorized access to compromised machines. Attempts to terminate processes of various antivirus and firewall programs. 分发* 分发级别: High * 电子邮件的主题: Variable * 附件名称: Variable, with double extension ending in .exe, .scr, or .pif * 附件大小: 50,688 bytes * 端口: 36794 * 共享驱动器: Attempts to connect to available network resources W32.Bugbear@mm 运行时,将执行下列操作: 它会将自己复制到%system%\\****.exe, * 代表蠕虫选择的字母。 注意事项%System% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), 或 C:\\Windows\\System32 (Windows XP),然后将自身复制到该位置。 它会将自己复制到\\Startup\\****.exe, * 代表病毒选择的字母。例如: o 在Windows 95/98/Me下,它可能将自己复制到C:\\Windows\\Start Menu\\Programs\\Startup\\Cuu.exe o 在Windows NT/2000/XP 下,它可能将自己复制到C:\\Documents and Settings\\< current user name>\\Start Menu\\Programs\\Startup\\Cti.exe 它在%system%文件夹中创建 三个加密的 .dll 文件,在%windir%文件夹中创建两个加密的 .dat 文件。其中的一个 .dll 文件会被蠕虫用来将 Hook(挂钩)程序安装到 Hook Chain(挂钩链)来监视系统的键盘和鼠标输入。此类的挂钩链程序会将收到的信息传递到当前链的下一个环节中。该链使得病毒能够解读键盘输入。该 .dll 文件大小为 5,632 字节。赛门铁克 防病毒产品将其标识为PWS.Hooker.Trojan。下面是该程序的图解: (图中说明文字:PWS.Hooker.Trojan 拦截键盘输入讯息,将其处理后传递至挂钩链的下一个挂钩程序。) 拦截到的键盘输入讯息可能是用户的登录信息、密码、信用卡号等等。不论这些信息最终是否加密后通过隐秘通道传输,骇客都能侦测或掌握它们。 Symantec 防病毒产品检测不到的文件没有危害性。该蠕虫会使用一些文件存储一个加密的内部设置信息。这些文件需要被删除。例如, o %system%\\Iccyoa.dll o %system%\\Lgguqaa.dll o %system%\\Roomuaa.dll o %windir%\\Okkqsa.dat o %windir%\\Ussiwa.dat 注意: %windir% 是一个变量。 蠕虫会找到 \\Windows 文件夹(默认位置是 C:\\Windows 或 C:\\Winnt),然后将自身复制到该位置。 它在注册表键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce 创建下列值<random letters> <the worm filename> 注意: 通常, 操作系统会在启动这些值所指的程序时从键中删除这些值。由此,蠕虫能重新创建这些值以使自己在 Windows 启动时启动。 该病毒具有四种危害。一,每隔 30 秒钟它会阻止下列程序在系统中运行: 单击箭头打开程序清单 该病毒会根据不同的操作系统选择不同的方法来达到目的。 群发邮件危害它会在当前的信箱和文件中,找寻具有下列扩展名的email 地址: o .mmf o .nch o .mbx o .eml o .tbb o .dbx o .ocs 蠕虫会从下列注册表键中获得计算机用户的 SMTP 服务器和电子邮件地址: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Account Manager\\Accounts 接着,蠕虫使用自己的 SMTP 引擎将自身发送到所有找到的电子邮件地址。蠕虫也能使用在受感染计算机上收集的信息来构造发信人地址栏。比如,如果蠕虫发现下列地址:a@a.com,b@b.com 和 c@c.com,它会使用一个名为 “c@b.com” 的发信人地址向 “a@a.com” 地址发信。蠕虫有时也会冒用找到的合法电子邮件地址。 除下列 Email 信息主题外,蠕虫也会回复、转发受感染电脑上现有的邮件。 单击箭头打开清单 该蠕虫从下列注册表键读取 Personal 值的内容: SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Shell Folders 并列出在此存储的文件,默认值为: C:\\My Documents 在 Windows 95/98/Me 和 C:\\Documents and Settings\\<User Name>\\My Documents 在 Windows NT/2000/XP。 这些文件名会被用来组成病毒附件文件的名称。该文件名可能包含下列字符串: o readme o Setup o Card o Docs o news o image o images o pics o resume o photo o video o music o song o data 文件扩展名会是下列其中之一: o .scr o .pif o .exe 如果蠕虫使用 My Documents 文件夹中的一个文件名,它会“调整” email 信息的类型使其符合文件扩展名。这些扩展名包括: o .reg o .ini o .bat o .diz o .txt o .cpp o .html o .htm o .jpeg o .jpg o .gif o .cpl o .dll o .vxd o .sys o .com o .exe o .bmp 信息的内容类型会被修改为如下列所示: o text/html o text/plain o application/octet-stream o image/jpeg o image/gif 邮件信息也许会使用 不正确的的 MIMIE 表头可能导致 IE 执行电子邮件附件(英文文档) 之类的弱点在未防护的系统上自动执行。 威胁三是一种后门程式。它会打开端口 36794 用来监听骇客发出的指令,包括: o 删除文件 o 结束程序 o 列出程序清单并将其发送给骇客 o 拷贝文件 o 开启程序 o 列出文件清单并将其发送给骇客 o 拦截的键盘输入并将其发送给骇客,比如密码、登录信息等。 o 将系统信息以下列格式传送给骇客: + 用户名: <用户名称> + 处理器: <所用处理器> + Windows 版本:<Windows 版本,build 号码> + 内存信息: <可用内存,等等。> + 显示本机磁盘及类型 (比如 Ramdisk/CD-Rom/Remote/Fixed/Removable,以及硬件特征。 o 列出网络资源及其类型并将资料传送给骇客 如果操作系统是 Windows 95/98/Me, 蠕虫会试图取得缓存中的密码。缓存中的密码包括拨号网络密码、URL密码、共享文件目录密码等等。该功能通过未正式纪录的 WnetEnumCachedPasswords 来实现,这个功能只存在于 Windows95/98/Me 下的 Mpr.dll 文件中。 蠕虫后门程序接受的指令需要密码确认,指令和必要的指令参数紧跟其后。比如,下面是指令 “i” 对应的屏幕信息: Server: '<ISCHIA>' User: 'Ischia' Processor: I586 Win32 on Windows 95 v4.10 build 1998 - Memory: 127M in use: 50% Page file: 1920M free: 1878M C:\\ - Fixed Sec/Clust: 64 Byts/Sec: 512, Bytes free: 2147155968/2147155968 D:\\ - CD-ROM Network: unknow cont (null) (Microsoft Network) unknow cont (null) (Microsoft Family Logon) “h” 指令允许特洛伊木马组件利用 HTTP 80 端口传送数据。后门程序操作的结果可以以 HTML 页面形式表现出来。这样一来骇客就能轻易浏览遭侵害计算机上的资源。 比如,假设被入侵的电脑是“Ischia”,下面是该参数的执行情况: 远端使用者可向该计算机上传文件。单击窗口中的 .txt 文件,文档内容会显示在一个浏览器中。单击其他文件则会出现一个下载窗口来下载该文件。 威胁四是蠕虫通过网络的传播。为此,蠕虫列出网络中的所有资源。当它找到开放的管理员共享目录后,会试图将自己复制到远端计算机的 Startup 目录。这样一来,受到侵害的计算机一旦开机便会感染。 因为蠕虫不能适当区别网络资源类型,它可能会使打印机资源溢出导致其打印出乱码或发生故障。 建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”: * 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。 * 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。 * 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。 重要信息* 移除蠕虫前请先断开计算机与 Internet 的连接。在重新连入网络前,请先关闭或使用密码保护共享文件夹,或设置共享文件夹为“只读”。更多信息请参照 How to configure shared Windows folders for maximum network protection。 * 从网络中清除蠕虫前,确认每个共享资料夹已关闭或设为“只读”。 使用 W32.Bugbear@mm 杀毒工具 这是最简单快速的方法。单击这里获取杀毒工具。 手动删除作为杀毒工具的替代,您也可以依照下列说明手动删除。 注意:以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。 1. 更新病毒定义。 2. 将计算机重新启动到安全模式。 3. 执行完整的系统扫描,删除所有探测到的 W32.Bugbear@mm文件。 4. 从下列注册表键中删除蠕虫所加入的值: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce 有关如何完成此操作的详细信息,请参阅下列指导。 获得最新的病毒定义 注意:如果蠕虫当前驻存在计算机中,您将不能够运行 LiveUpdate。这种情况下,您必须使用智能更新程序来下载病毒定义。 获得方法o 运行 LiveUpdate,这是获得病毒定义最简便的方法。 这些病毒定义经过 Symantec 安全响应中心的全面质量监控检测,如果未遇重大病毒爆发情况,会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。 o 使用“智能更新程序”下载病毒定义。 “智能更新程序”病毒定义已经过 Symantec 安全响应中心的全面质量监控检测, 会在工作日(周一至周五,美国时间)发布。 必须从 Symantec 安全响应中心 Web 站点下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。 “智能更新程序” 病毒定义可从此处获得。 有关如何从 Symantec 安全响应中心 Web 站点下载和安装“智能更新程序”病毒定义的详细指导,请单击此处。 以安全模式重新启动计算机。 除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。 有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。 1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。 * NAV 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。 * 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。 2. 运行完整的系统扫描。 3. 如果有任何文件被检测为感染了 W32. Bugbear@mm,请单击“删除”。 从注册表删除值: 警告:Symantec 强烈建议在更改注册表之前先进行备份。 如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。 请仅修改指定的键。 有关指导,请参阅文档:如何备份 Windows 注册表。 1. 单击“开始”,然后单击“运行”。 出现“运行”对话框。 2. 键入 regedit,然后单击“确定”。 将打开“注册表编辑器”。 3. 浏览到以下键: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce 4. 在右边的窗口中,找到蠕虫文件所参照值并删除。 5. 退出注册表键编辑器。 描述者: Yana Liu |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。