“W32.Magistr.24876@mm”的意思、由来-中文百科全书

简介

别名

W32.Magistr, W32.Magistr.24876.corrupt, I-Worm.Magistr.a [KAV], PE_MAGISTR.A [Trend], W32/Disemboweler [Panda], W32/Magistr-A [Sophos], W32/Magistr.a@MM [McAfee], Win32.Magistr.24876 [CA]

受感染的系统

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

由于提交率的降低，Symantec 安全响应中心自 2001 年 12 月 10 日起将该威胁的级别从 4 类降为 3 类。

注意：在很多情况下，该病毒会 “接触” 文件，并将其以电子邮件附件的形式发送出去。这些文件不包含病毒代码，应被视作干净文件。在这种情况下，可以安全地删除该文件，为谨慎起见，还应告知发件人其系统已感染了该病毒。

什么是可移植的可执行文件 (PE)？

PE 文件是能在所有 Microsoft 32 位操作系统间进行移植的文件。同一 PE 格式的可执行文件可以在 Windows 95、98、Me、NT 和 2000 任一版本上执行。因此，所有的 PE 文件都是可执行文件，但并非所有可执行文件都是可移植的。

屏幕保护程序 (.scr) 文件就是可移植的可执行文件的一个很好示例。

防护

* 病毒定义（每周 LiveUpdate™） 2001 年 3 月 13 日

* 病毒定义（智能更新程序） 2001 年 3 月 13 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Moderate

* 清除： Moderate

损坏

* 损坏级别： High

* 大规模发送电子邮件： Uses email addresses from the Windows Address Book files and Outlook Express Sent Items folder.

* 泄露机密信息： It could send confidential Microsoft Word documents to others.

* 导致系统不稳定： Overwrites hard drives, erases CMOS, flashes the BIOS.

分发

* 分发级别： High

* 电子邮件的主题： Randomly generated text that can be up to 60 characters long.

* 附件名称： One randomly named infected executable and several randomly selected text or document files

* 感染目标： All the Windows PE files that are not .dll files.

当受 W32.Magistr.24876@mm 感染的文件被执行时，会在内存中搜索 Explorer.exe 内存空间内一个可读、可写、并已初始化的区域。如果找到，则在该区域插入一个 110 字节的例程，同时将 TranslateMessage 函数钩连并指向该例程。此代码第一次出现是在 W32.Dengue 中。

当插入的代码得到控制权时，会创建一个线程并调用原来的 TranslateMessage 函数。线程在等待三分钟后激活。然后该病毒获得计算机的名称，将其转换成一个 base64 字符串，并根据该名称的第一个字母，在 \\Windows 文件夹、\\Program Files 文件夹或根文件夹中创建一个文件。此文件包含了某些信息，如电子邮件通讯簿的位置和初始感染日期。然后该病毒从注册表（对于Outlook、 Exchange、Internet Mail and News）或 Prefs.js 文件 (对于Netscape) 中检索当前用户的电子邮件名称和地址信息。病毒在其体内始终保留 10 位最近受感染的用户的记录，当病毒被解密时，在受感染的文件中可以看到这些用户的名字。此后，病毒在 Netscape 文件夹中搜索 Sent 文件，而在 \\Windows 和 \\Program Files 文件夹中搜索 .wab、.mbx 和 .dbx 文件。

如果存在活动的 Internet 连接，则病毒会搜索五个 .doc 和 .txt 文件，并从其中的某个文件中选择一些单词（单词数量是随机的）用于构成电子邮件的主题和邮件正文。然后，病毒搜索多达 20 个小于 128 KB 的 .exe 和 .scr 文件，感染其中的一个文件，并将感染后的文件附加到新邮件中，发送给通讯簿中的 100 个用户。另外，附加从中提取了主题和邮件正文的文件的几率为 20％。还有 80％的几率为在发件人地址的第二个字符后加一个数字 1。后一种更改会使您无法收到答复及可能发出的感染警报。

在邮寄完成后，病毒搜索20个 .exe 和 .scr 文件，并感染其中的一个文件。如果 Windows 目录为下列任意一个：

o Winnt

o Win95

o Win98

o Windows

那么病毒将受感染文件移入 \\Windows 文件夹中并稍稍改变文件名的几率为 25%。文件移动完成后，Win.ini 文件中就添加了一个 run= 行，从而使得无论何时启动计算机此病毒都会运行。在另外 75% 的几率下案例中，该病毒会在下列注册表键中创建一个子键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

该子键的名称是不带后缀的文件名，而值是受感染文件的完整文件名。然后，病毒在本地所有硬盘驱动器和网络上的所有共享文件夹中搜索 20 个 .exe 和 .scr 文件来进行感染，并且如果在该位置存在 \\Windows 文件夹，还将添加 run= 行。

如果计算机已感染了一个月，并且至少已向 100 个人发送了受感染文件，同时至少有三个文件包含下面列表中三个或三个以上的示例，则该病毒将首次激活其有效负载：

sentences you

sentences him to

sentence you to

ordered to prison

convict

, judge

circuit judge

trial judge

found guilty

find him guilty

affirmed

judgment of conviction

verdict

guilty plea

trial court

trial chamber

sufficiency of proof

sufficiency of the evidence

proceedings

against the accused

habeas corpus

jugement

condamn

trouvons coupable

a rembourse

sous astreinte

aux entiers depens

aux depens

ayant delibere

le present arret

vu l'arret

conformement a la loi

execution provisoire

rdonn

audience publique

a fait constater

cadre de la procedure

magistrad

apelante

recurso de apelaci

pena de arresto

y condeno

mando y firmo

calidad de denunciante

costas procesales

diligencias previas

antecedentes de hecho

hechos probados

sentencia

comparecer

juzgando

dictando la presente

los autos

en autos

denuncia presentada

此有效负载与 W32.Kriz 的有效负载相似，并执行下列操作：

* 删除受感染文件

* 擦除 CMOS（只适用于 Windows 9x/Me）

* 擦除 Flash BIOS（只适用于 Windows 9x/Me）

* 每隔 24 个文件用文本 YOUARESHIT 覆盖下一个文件中适当的部分

* 每隔一个文件删除一个文件

* 显示下列消息：

* 覆盖第一个硬盘的一个扇区

此有效负载会无限重复。

如果计算机已感染了两个月，则在奇数日期，无论鼠标指针何时指向桌面的图标，这些图标都会改变位置，就好像图标从鼠标下“逃跑”了。

如果计算机已感染了三个月，则会删除受感染的文件。

对那些受 W32.Magistr.24876@mm 感染的文件来说，入口点地址将保持不变，但在该地址放置了多达 512字节的垃圾代码。此垃圾代码将控制权传输到最后部分。最后部分会附加一个多形加密体。此病毒对调试程序不友好，如果发现调试程序，将会使计算机崩溃。

注意：如果文件被检测为感染了 W32.Magistr.corrupt，则意味着此文件被病毒破坏并且不能修复。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

杀除该蠕虫，请修复被检测为感染了 W32.Magistr.24876@mm 的文件并还原它对 Window 注册表或 Win.ini 文件所做的更改。

注意：该蠕虫在基于 Windows 95/98/Me 的计算机上会尝试擦除 CMOS 和 Flash BIOS。在大多数情况下，都不会成功。如果成功，则计算机将无法正常启动。在这种情况下，您应当首先联系计算机生产商，此常试获得有关如何解决该问题的指导。

杀除蠕虫：

1. 运行 LiveUpdate，确保您的病毒定义是最新的。

2. 启动 Norton AntiVirus (NAV)，并确保 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。

3. 运行完整的系统扫描。

4. 如果有任何文件被检测为感染了 W32.Magistr.24876@mm ，则记下文件名，然后单击“修复”。删除无法修复的文件。

编辑注册表：

该蠕虫向注册表添加值的几率为 75%。请首先按照本部分中的指导进行操作。如果未找到该蠕虫所添加的值，则继续下一部分。

警告：强烈建议在进行任何更改之前备份系统注册表。错误地更改注册表可能会导致数据永久丢失或文件损坏。请确保只修改指定的键。继续操作之前，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。“运行”对话框出现。

2. 键入 regedit，然后单击“确定”。注册表编辑器打开。

3. 导航至以下键

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除被检测为感染了 W32.Magistr.24876@mm 的文件的值。

编辑 Win.ini 文件：

1. 单击“开始”，然后单击“运行”。

2. 键入以下内容，然后单击“确定”：

edit c:\\windows\\win.ini

MS-DOS 编辑器打开。

注意：如果 Windows 安装在其他位置，请用相应的路径代替。

3. 在文件的 [windows] 部分，查找以下面内容开头的行：

run=

4. 在等号 (=) 右侧，查找引用被检测为感染了 W32.Magistr.24876@mm 的文件的文本。

5. 删除该文本。

6. 单击 File，然后单击 Save。

7. 退出 MS-DOS 编辑器。

注意：此病毒包含 bug，当 bug 试图感染某些文件以及首次激活有效负载时会破坏这些文件。这些文件不能修复，必须从备份中将其还原。（这些文件可能被检测为感染了 W32.Magistr.corrupt）

描述者： Peter Ferrie

词条	W32.Magistr.24876@mm
释义	W32.Magistr.24876@mm 是具有电子邮件蠕虫功能的病毒。它还具有网络意识。它感染除 .dll 系统文件之外的 Windows 可移植的可执行文件 (PE) 文件。它的一些地址发送电子邮件，这些地址是病毒从Outlook/Outlook 邮件文件夹（.dbx、.mbx）、Netscape 中的已发送项目文件以及 Windows 通讯簿 (.wab) （供Microsoft Outlook 和Microsoft Outlook Express 等邮件客户端使用）中收集来的。所发送的电子邮件最多可能有两个附件，并且主题行和邮件正文是随机产生的。简介(发现更新别名类型感染长度受感染的系统防护) 威胁评估(广度损坏分发建议) 简介发现 2001 年 3 月 13 日更新 2007 年 2 月 13 日 11:36:17 AM 别名 W32.Magistr, W32.Magistr.24876.corrupt, I-Worm.Magistr.a [KAV], PE_MAGISTR.A [Trend], W32/Disemboweler [Panda], W32/Magistr-A [Sophos], W32/Magistr.a@MM [McAfee], Win32.Magistr.24876 [CA] 类型 Worm, Virus 感染长度 varies 受感染的系统 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 由于提交率的降低，Symantec 安全响应中心自 2001 年 12 月 10 日起将该威胁的级别从 4 类降为 3 类。注意：在很多情况下，该病毒会 “接触” 文件，并将其以电子邮件附件的形式发送出去。这些文件不包含病毒代码，应被视作干净文件。在这种情况下，可以安全地删除该文件，为谨慎起见，还应告知发件人其系统已感染了该病毒。什么是可移植的可执行文件 (PE)？ PE 文件是能在所有 Microsoft 32 位操作系统间进行移植的文件。同一 PE 格式的可执行文件可以在 Windows 95、98、Me、NT 和 2000 任一版本上执行。因此，所有的 PE 文件都是可执行文件，但并非所有可执行文件都是可移植的。屏幕保护程序 (.scr) 文件就是可移植的可执行文件的一个很好示例。防护 * 病毒定义（每周 LiveUpdate™） 2001 年 3 月 13 日 * 病毒定义（智能更新程序） 2001 年 3 月 13 日威胁评估广度 * 广度级别： Low * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： Medium * 威胁抑制： Moderate * 清除： Moderate 损坏 * 损坏级别： High * 大规模发送电子邮件： Uses email addresses from the Windows Address Book files and Outlook Express Sent Items folder. * 泄露机密信息： It could send confidential Microsoft Word documents to others. * 导致系统不稳定： Overwrites hard drives, erases CMOS, flashes the BIOS. 分发 * 分发级别： High * 电子邮件的主题： Randomly generated text that can be up to 60 characters long. * 附件名称： One randomly named infected executable and several randomly selected text or document files * 感染目标： All the Windows PE files that are not .dll files. 当受 W32.Magistr.24876@mm 感染的文件被执行时，会在内存中搜索 Explorer.exe 内存空间内一个可读、可写、并已初始化的区域。如果找到，则在该区域插入一个 110 字节的例程，同时将 TranslateMessage 函数钩连并指向该例程。此代码第一次出现是在 W32.Dengue 中。当插入的代码得到控制权时，会创建一个线程并调用原来的 TranslateMessage 函数。线程在等待三分钟后激活。然后该病毒获得计算机的名称，将其转换成一个 base64 字符串，并根据该名称的第一个字母，在 \\Windows 文件夹、\\Program Files 文件夹或根文件夹中创建一个文件。此文件包含了某些信息，如电子邮件通讯簿的位置和初始感染日期。然后该病毒从注册表（对于Outlook、 Exchange、Internet Mail and News）或 Prefs.js 文件 (对于Netscape) 中检索当前用户的电子邮件名称和地址信息。病毒在其体内始终保留 10 位最近受感染的用户的记录，当病毒被解密时，在受感染的文件中可以看到这些用户的名字。此后，病毒在 Netscape 文件夹中搜索 Sent 文件，而在 \\Windows 和 \\Program Files 文件夹中搜索 .wab、.mbx 和 .dbx 文件。如果存在活动的 Internet 连接，则病毒会搜索五个 .doc 和 .txt 文件，并从其中的某个文件中选择一些单词（单词数量是随机的）用于构成电子邮件的主题和邮件正文。然后，病毒搜索多达 20 个小于 128 KB 的 .exe 和 .scr 文件，感染其中的一个文件，并将感染后的文件附加到新邮件中，发送给通讯簿中的 100 个用户。另外，附加从中提取了主题和邮件正文的文件的几率为 20％。还有 80％的几率为在发件人地址的第二个字符后加一个数字 1。后一种更改会使您无法收到答复及可能发出的感染警报。在邮寄完成后，病毒搜索20个 .exe 和 .scr 文件，并感染其中的一个文件。如果 Windows 目录为下列任意一个： o Winnt o Win95 o Win98 o Windows 那么病毒将受感染文件移入 \\Windows 文件夹中并稍稍改变文件名的几率为 25%。文件移动完成后，Win.ini 文件中就添加了一个 run= 行，从而使得无论何时启动计算机此病毒都会运行。在另外 75% 的几率下案例中，该病毒会在下列注册表键中创建一个子键： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 该子键的名称是不带后缀的文件名，而值是受感染文件的完整文件名。然后，病毒在本地所有硬盘驱动器和网络上的所有共享文件夹中搜索 20 个 .exe 和 .scr 文件来进行感染，并且如果在该位置存在 \\Windows 文件夹，还将添加 run= 行。如果计算机已感染了一个月，并且至少已向 100 个人发送了受感染文件，同时至少有三个文件包含下面列表中三个或三个以上的示例，则该病毒将首次激活其有效负载： sentences you sentences him to sentence you to ordered to prison convict , judge circuit judge trial judge found guilty find him guilty affirmed judgment of conviction verdict guilty plea trial court trial chamber sufficiency of proof sufficiency of the evidence proceedings against the accused habeas corpus jugement condamn trouvons coupable a rembourse sous astreinte aux entiers depens aux depens ayant delibere le present arret vu l'arret conformement a la loi execution provisoire rdonn audience publique a fait constater cadre de la procedure magistrad apelante recurso de apelaci pena de arresto y condeno mando y firmo calidad de denunciante costas procesales diligencias previas antecedentes de hecho hechos probados sentencia comparecer juzgando dictando la presente los autos en autos denuncia presentada 此有效负载与 W32.Kriz 的有效负载相似，并执行下列操作： * 删除受感染文件 * 擦除 CMOS（只适用于 Windows 9x/Me） * 擦除 Flash BIOS（只适用于 Windows 9x/Me） * 每隔 24 个文件用文本 YOUARESHIT 覆盖下一个文件中适当的部分 * 每隔一个文件删除一个文件 * 显示下列消息： * 覆盖第一个硬盘的一个扇区此有效负载会无限重复。如果计算机已感染了两个月，则在奇数日期，无论鼠标指针何时指向桌面的图标，这些图标都会改变位置，就好像图标从鼠标下“逃跑”了。如果计算机已感染了三个月，则会删除受感染的文件。对那些受 W32.Magistr.24876@mm 感染的文件来说，入口点地址将保持不变，但在该地址放置了多达 512字节的垃圾代码。此垃圾代码将控制权传输到最后部分。最后部分会附加一个多形加密体。此病毒对调试程序不友好，如果发现调试程序，将会使计算机崩溃。注意：如果文件被检测为感染了 W32.Magistr.corrupt，则意味着此文件被病毒破坏并且不能修复。建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。杀除该蠕虫，请修复被检测为感染了 W32.Magistr.24876@mm 的文件并还原它对 Window 注册表或 Win.ini 文件所做的更改。注意：该蠕虫在基于 Windows 95/98/Me 的计算机上会尝试擦除 CMOS 和 Flash BIOS。在大多数情况下，都不会成功。如果成功，则计算机将无法正常启动。在这种情况下，您应当首先联系计算机生产商，此常试获得有关如何解决该问题的指导。杀除蠕虫： 1. 运行 LiveUpdate，确保您的病毒定义是最新的。 2. 启动 Norton AntiVirus (NAV)，并确保 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。 3. 运行完整的系统扫描。 4. 如果有任何文件被检测为感染了 W32.Magistr.24876@mm ，则记下文件名，然后单击“修复”。删除无法修复的文件。编辑注册表：该蠕虫向注册表添加值的几率为 75%。请首先按照本部分中的指导进行操作。如果未找到该蠕虫所添加的值，则继续下一部分。警告：强烈建议在进行任何更改之前备份系统注册表。错误地更改注册表可能会导致数据永久丢失或文件损坏。请确保只修改指定的键。继续操作之前，请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。“运行”对话框出现。 2. 键入 regedit，然后单击“确定”。注册表编辑器打开。 3. 导航至以下键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，删除被检测为感染了 W32.Magistr.24876@mm 的文件的值。编辑 Win.ini 文件： 1. 单击“开始”，然后单击“运行”。 2. 键入以下内容，然后单击“确定”： edit c:\\windows\\win.ini MS-DOS 编辑器打开。注意：如果 Windows 安装在其他位置，请用相应的路径代替。 3. 在文件的 [windows] 部分，查找以下面内容开头的行： run= 4. 在等号 (=) 右侧，查找引用被检测为感染了 W32.Magistr.24876@mm 的文件的文本。 5. 删除该文本。 6. 单击 File，然后单击 Save。 7. 退出 MS-DOS 编辑器。注意：此病毒包含 bug，当 bug 试图感染某些文件以及首次激活有效负载时会破坏这些文件。这些文件不能修复，必须从备份中将其还原。（这些文件可能被检测为感染了 W32.Magistr.corrupt）描述者： Peter Ferrie
随便看	欧朗德欧朗得欧勒马欧勒卫浴有限公司欧乐家欧乐升欧乐文化传播有限公司欧乐幼儿园欧乐源咖啡机欧雷屏欧蕾·布鲁沙克欧蕾面包欧李红色素欧李农大7号欧里庇得斯头像欧里乘降所欧里村欧里科欧里庞提德世系欧里佩德斯欧里思欧里小学欧里站欧荔欧丽