请输入您要查询的百科知识:

 

词条 W32.HLLW.Fizzer@mm
释义

W32.HLLW.Fizzer@mm病毒名称, 群发邮件蠕虫,它将其自身发送给 Windows 地址簿中的所有联系人。 包含一个使用 mIRC 与远程攻击者通信的后门。包含键记录器,并尝试通过 KaZaA 文件共享网络进行传播。试图中断各种处于活动状态的防病毒程序。

简介

发现: 2003 年 5 月 8 日

更新: 2007 年 2 月 13 日 12:06:07 PM

别名: W32/Fizzer@MM [McAfee], Win32.Fizzer [CA], W32/Fizzer-A [Sophos], WORM_FIZZER.A [Trend], Fizzer [F-Secure], Win32/Fizzer.A@mm [RAV], I-Worm.Fizzer [KAV]

类型: Worm

感染长度: 241,664 bytes

受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

W32.HLLW.Fizzer@mm

注意:日期为 5/9/2003 的病毒定义已在 5/12/2003 作为 LiveUpdate 定义发布,配合这次升级。

赛门铁克安全响应已提供了针对 W32.HLLW.Fizzer@mm 的杀毒工具。请单击 这里 获取该工具。

防护

病毒定义(每周 LiveUpdate™) 2003 年 5 月 9 日

病毒定义(智能更新程序) 2003 年 5 月 9 日

威胁评估

广度

* 广度级别: Low

* 感染数量: More than 1000

* 站点数量: More than 10

* 地理位置分布: Medium

* 威胁抑制: Moderate

* 清除: Moderate

损坏

* 损坏级别: Medium

* 有效负载: Various backdoor capabilities

* 大规模发送电子邮件: Sends itself to all contacts in the Windows Address Book.

* 危及安全设置: Attempts to terminate processes of various antivirus programs.

分发

* 分发级别: High

* 电子邮件的主题: varies

* 附件名称: varies with .com, .exe, .pif, or .scr file extension

* 附件大小: varies

* 端口: 81, 2018, 2019, 2020, 2021

* 共享驱动器: Attempts to spread via the KaZaA file-sharing network.

W32.HLLW.Fizzer@mm 运行时会执行下列操作:

将其自身复制为

o %windir%\\iservc.exe

o %windir%\\initbak.dat

注意:%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹(默认为 C:\\Windows 或 C:\\Winnt),然后将自身复制到其中。

1. 创建下列文件:

* %windir%\\ProgOp.exe (15,360 字节)

* %windir%\\iservc.dll (7,680 字节), 这是该蠕虫的键记录器组件

* %windir%\\data1-2.cab, 它包含该蠕虫在受感染计算机上找到的加密电子邮件地址

* %windir%\\iservc.dat

* %windir%\\Uninstall.pky

* %windir%\\upd.bin

注意:这些文件本身不是病毒。因此,Symantec 防病毒产品不检测它们。如果感染了该蠕虫,应当手动删除它们。

2. 将值

"SystemInit"="%windir%\\iservc.exe"

添加到注册表键

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

一般该蠕虫在重启 Windows 时运行。

3. 启动后,将 iservc.exe 作为一个进程启动。

4. 将注册表键

HKEY_LOCAL_MACHINE\\Software\\CLASSES\\txtfile\\shell\\open\\command

的默认值修改为

@="%Windir%\\ProgOp.exe 0 7 '%windir%\otepad.exe %1''%windir%\\initbak.dat''iservc.exe'

5. 试图结束名称中包含以下字符串的所有进程:

* NAV

* SCAN

* AVP

* TASKM

* VIRUS

* F-PROT

* VSHW

* ANTIV

* VSS

* NMAIN

6. 创建 mutex SparkyMutex,只允许该蠕虫的一个实例在系统中运行。

7. 试图使用该蠕虫携带的各种不同用户名连接许多 IRC 服务器,然后等候黑客的命令。以下是该蠕虫试图连接的部分 IRC 服务器:

* irc.a wesomechat net

* irc.b lueshadownet org

* irc.c hatlands org

* irc.d arkmyst org

* irc.hemmet.c halmers se

* irc.e xodusirc net

* irc.m irc gr

8. 将所有键击记录到一个加密文件 %windir%\\iservc.klg。

9. 将其自身以随机文件名复制到 KaZaA 文件下载目录中,侍机通过文件共享网络进行传播。

10. 以一个随机创建的名字连接到一个 AOL Instant Messenger (AIM) 聊天室,并在那里等待骇客的指令。

11. 在端口 81 上作为 HTTP 服务器运行。

12. 使用端口 2018、2019、2020、2021 获得其他后门功能。

13. 试图连接 Geocities 站点以获得更新。此时,这些站点不可用。

14. 从 Windows 地址簿、Cookie 文件、Internet 临时文件和当前用户的个人文件夹检索电子邮件地址。该蠕虫将其自身发送到它所找到的电子邮件地址。它会伪装发件人的姓名和电子邮件。

注意:更多关于电子邮件伪装的信息,请参阅文档 收到的邮件称你发出一个病毒,但是使用最新的病毒定义扫描所有文件没有侦测到任何病毒(英文)。

特征

该电子邮件具有以下特征,

主题:从该蠕虫携带的列表随机选取主题行。可能是下列之一:

* I thought this was interesting...

* rather psychedelic...

* found this on the net, you might like it...

* discothèque

* imbrue

* Damn it feels good to be gangsta.

* The way I feel - Remy Shand

* Paradigm Shift

* WASSUP!

* Know Thyself

* Hell

* I love you

* Please discard if you don't like or agree with our present leadership...

* little popup remover

* B cannot remember

* Yo, WASSUP, B?

* an interesting program...

* You might not appreciate this...

* I think you might find this amusing...

* LOL

* check this out... hehehe

* question...

* see you tomorrow.

* how are you?

* you need to lose weight.

* why?

* kind of simple, but fun nonetheless.

* check it out.

邮件:从该蠕虫携带的列表随机选取邮件正文。可能是下列之一:

I sent this program (Sparky) from anonymous places on the net.

The way to gain a good reputation is to endeavor to be what you desire to appear.

There is only one good, knowledge, and one evil, ignorance.

Watchin' the game, having a bud.

Did you ever stop to think that viruses are good for the economy? Maybe the primary creators of the world's worst viruses are the companies that make the Anti-Virus software.

Today is a good day to die...

so, how are you?

the attachment is only for you to look at

you must not show this to anyone...

delete this as soon as you look at it...

Let me know what you think of this...

If you don't like it, just delete it.

thought I'd let you know

you don't have to if you don't want to.

附件:随机生成附件名称。具有以下扩展名之一

.exe

.pif

.com

.scr

Symantec Netprowler

赛门铁克为 NetProwler 3.5.1发布了侦测 W32.HLLW.Fizzer@mm 的 Security Update 25。按此了解更多信息。

Symantec Gateway Security

赛门铁克通过 LiveUpdate 发布了可以探测 W32.HLLW.Fizzer@mm 的 Gateway Security 更新。Symantec Gateway Securit 产品用户应该运行 LiveUpdate 以防范该威胁。

Symantec Intruder Alert 3.6

赛门铁克发布了可以探测 W32.HLLW.Fizzer@mm 的 Intruder Alert 3.6 策略。如需更多信息请单击这里。同时发布的还有用于 NetProwler 3.5xSU 25 的 Intruder Alert 3.5/3.6 Integration 策略。请单击这里了解更多信息。

Symantec ManHunt

为了将此威胁检测为 W32.HLLW.Fizzer@mm,赛门铁克建议 Symantec ManHunt 用户开启 HYBRID MODE 功能并使用下列定制的规则:

*******************start file********************

alert tcp any any -> any any (msg:"W32.HLLW.Fizzer@mm";

content:"M|00|i|00|c|00|r|00|o|00|s|00|o|00|f|00|t|00|(|00|R|00|)|00| |00|

W|00|i|00|n|00|d|00|o|00|w|00|s|00| |00|(|00|R|00|)|00| |00|

S|00|y|00|s|00|t|00|e|00|m|00| |00|I|00|n|00|i|00|t";

nocase; content:"l|00|s|00|e|00|r|00|v|00|c|00|.|00|e|00|x|00|e"; nocase;)

alert udp any any -> any any (msg:"W32.HLLW.Fizzer@mm";

content:"M|00|i|00|c|00|r|00|o|00|s|00|o|00|f|00|t|00|(|00|R|00|)|00| |00|

W|00|i|00|n|00|d|00|o|00|w|00|s|00| |00|(|00|R|00|)|00| |00|

S|00|y|00|s|00|t|00|e|00|m|00| |00|I|00|n|00|i|00|t";

nocase; content:"l|00|s|00|e|00|r|00|v|00|c|00|.|00|e|00|x|00|e"; nocase;)

alert tcp any any -> any 25 (msg:"W32.HLLW.Fizzer@mm";

content:"AHMAZQByAHYAYwAuAGUAeABl";)

alert tcp any any -> any 25 (msg:"W32.HLLW.Fizzer@mm";

content:"AGwAcwBlAHIAdgBjAC4AZQB4";)

alert tcp any any -> any 25 (msg:"W32.HLLW.Fizzer@mm";

content:"AbABzAGUAcgB2AGMALgBlAHg";)

*************EOF*********************

将在蠕虫通过 Kazaa 和 SMTP 传播时被激活。更多关于如何创建定制签名的信息请参阅 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

*禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。

* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

使用 W32.HLLW.Fizzer@mm 杀毒工具

这是最简单快速的方法。单击这里获取杀毒工具。

手动删除

作为杀毒工具的替代,您也可以依照下列说明手动删除。

防毒

以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 更新病毒定义。

2. 运行完整的系统扫描,并删除所有检测为 W32.HLLW.Fizzer@mm 的文件。

3. 删除添加到注册表的值。

有关每个步骤的详细信息,请阅读以下指导。

1. 更新病毒定义

Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:

o 运行 LiveUpdate,这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况,这些病毒定义会在 LiveUpdate 服务器上每周发布一次(一般为星期三)。要确定是否可通过 LiveUpdate 获得用于该威胁的定义,请参考病毒定义 (LiveUpdate)。

o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日(周一至周五)发布。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于该威胁的定义,请参考病毒定义(智能更新程序)。

智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义,请单击这里。

2. 将计算机重启到安全模式或者终止特洛伊木马进程

Windows 95/98/Me

将计算机重启到安全模式。所有 Windows 32-bit 操作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。

Windows NT/2000/XP

要终止特洛伊木马进程:

1. 按一次 Ctrl+Alt+Del。

2. 单击“任务管理器”。

3. 单击“进程”选项卡。

4. d. 双击“映像名称”列标题,按字母顺序对进程排序。

5. 滚动列表并查找 iservc.exe。

6. 如果找到该文件,则单击此文件,然后单击“结束进程”。

7. 单击“任务管理器”。

3. 从注册表删除值

警告

Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。

1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)

2. 键入 regedit 然后单击“确定”。(将打开注册表编辑器。)

3. 导航至以下键:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中,删除值:

"SystemInit"="%windir%\\iservc.exe"

5. 导航至以下键:

HKEY_LOCAL_MACHINE\\Software\\CLASSES\\txtfile\\shell\\open\\command

6. 在右窗格中,将默认值修改为:

notepad.exe %1

7. 退出注册表编辑器。

4. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。

o 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.HLLW.Fizzer@mm,请单击“删除”。

4. 使用 Windows 资源管理器,找出并删除下列文件:

o %Windir%\\ProgOp.exe

o %Windir%\\iservc.dll

o %Windir%\\data1-2.cab

o %Windir%\\iservc.dat

o %Windir%\\Uninstall.pky.

o %Windir%\\Upd.bin

注意

%Windir% 是个变量。蠕虫会找到 Windows 的安装目录(默认位置为 C:\\Windows 或 C:\\Winnt) 并将自己复制到其中。

描述者: Yana Liu

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/17 5:41:04