“W32.Magistr.39921@mm”的意思、由来-中文百科全书

简介

发现： 2001 年 9 月 3 日

更新： 2007 年 2 月 13 日 1:02:36 PM

别名： I-Worm.Magistr.b [Kaspersky], W32.Magistr.B@mm, W32/Magistr.b@MM [McAfee], W32/Magistr.32768@mm [Frisk], PE_Magistr.B [Trend], W32/Magistr-B [Sophos], Win32.Magistr.29188 [Computer

类型: Worm, Virus

感染长度： 39,921 bytes

防护

* 病毒定义（每周 LiveUpdate™） 2001 年 9 月 4 日

* 病毒定义（智能更新程序） 2001 年 9 月 4 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Moderate

* 清除： Moderate

损坏

* 损坏级别： High

* 大规模发送电子邮件： Uses email addresses from the Windows and Eudora Address Book files, Outlook Express Sent Items folder, and Netscape Sent Items files.

* 泄露机密信息： It could send confidential Microsoft Word documents to others.

* 导致系统不稳定： Overwrites hard drives, erases CMOS, flashes the BIOS.

分发

* 分发级别： High

* 电子邮件的主题： Randomly generated text that can be up to 60 characters long.

* 附件名称： One randomly named infected executable and several randomly selected text or document files

* 感染目标： All Windows PE files that are not .dll files.

下面列出了其他功能以及 W32.Magistr.39921@mm 与 W32.Magistr.24876@mm 之间的行为区别：

* 识别 Eudora 通讯簿（在 Eudora.ini中列出。）

* 搜索文件时删除 *.ntz。

* 试图禁用 ZoneAlarm 的用户界面（不会禁用 ZoneAlarm 防火墙功能。）

* 在 System.ini 的 Boot 部分的 Shell=explorer.exe 行中添加一项，调用 W32.Magistr.Trojan。在某些情况下，它可能添加一个或多个注册表项。

* 搜索多个 Windows 文件夹（Winnt、Windows、Win95、Win98、Winme、Win2000、Win2k、Winxp。）

* 通过电子邮件发送具有随机扩展名（.exe、.bat、.pif 或 .com）的附件。

* 偶尔会将 .gif 文件附加到电子邮件中。

* 有效负载用代码覆盖所有驱动器上的 Ntldr (Windows NT/2000/XP) 和 Win.com（所有 Windows 32 OS）文件，从而导致在第一个 IDE 硬盘驱动器的第一个扇区中存储有垃圾数据。

Symantec 提供的工具 Fixmagi.com 用于杀除 W32.Magistr@mm 的所有已知变种的感染。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

要杀除 W32.Magistr.39921@mm 及其放入的特洛伊木马，请运行 NAV 并修复所有受感染的文件。无法修复的文件应当予以删除。然后删除 System.ini 的 Shell= 行中的 W32.Magistr.Trojan 项及该病毒添加到注册表中的所有项。

清除

W32.Magistr.39921@mm：

1. 运行 LiveUpdate，确保您的病毒定义是最新的。

2. 启动 Norton AntiVirus (NAV)，并确保 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 扫描所有文件。

3. 运行完整的系统扫描。

4. 如果有任何文件被检测为感染了 W32.Magistr.39921@mm ，应记录下文件名，然后单击“修复”。无法修复的文件应予以删除。如果需要，请从干净的备份中还原已删除的文件。

警告：必须从备份副本中还原或从原始安装光盘中提取被检测为 W32.Magistr.Trojan（注意 Trojan 扩展名）的文件。（这些文件是系统文件 Ntldr 和 Win.com。Ntldr 是在 Windows NT/2000/XP 计算机上找到的。Win.com 是在所有 Windows 32 OS 上找到的。）缺少这些文件，您的系统将无法正常运行。有关的操作信息，请参阅 Windows 文档或下列文档之一：

o 如何在 Windows 98 和 Windows Me 中提取文件（英文）。

o 如何使用 Windows 2000 或 Windows NT 4.0 提取文件（英文）。

从 System.ini 中删除 W32.Magistr.Trojan 项：

1. 在 NAV 扫描过程中，记录下感染了 W32.Magistr.Trojan 的所有文件的名称。

2. 单击“开始”，然后单击“运行”。

3. 键入下列内容，然后单击“确定”：

edit c:\\windows\\system.ini

MS-DOS 编辑器打开。

注意：如果 Windows 安装在其他位置，请用相应的路径替换。

4. 在文件的 [boot] 部分，查找下列项

shell=Explorer.exe

5. 将光标放置在紧挨 Explorer.exe 的右侧。

6. 按 Shift+End 选择 Explorer.exe 右侧的所有文本，然后按 Delete。

7. 单击 File，然后单击 Exit。

8. 当询问您是否保存更改时，单击“Yes”。

注意：如果按照上述杀毒指导操作后仍然出现问题，则按照 W32.Magistr.24876@mm杀毒部分中的指导执行操作。

编辑注册表：

警告：强烈建议进行任何更改之前先备份系统注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。“运行”对话框出现。

2. 键入 regedit，然后单击“确定”。注册表编辑器打开。

3. 导航至下列键：

HKEY_Local_Machine\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，查找具有随机文件名及 .exe 扩展名且指向 \\WinNT\\System 或 \\Windows\\System 文件夹的值。这可能是在运行完整的系统扫描时被检测为 W32.Magistr.39921@mm 的文件的名称。

5. 删除找到的所有此类值。

6. 执行下列操作之一：

o 如果运行的是 Windows 95/98/Me，单击“注册表”，然后单击“退出”。

o 如果运行的是 Windows NT/2000/XP，则继续步骤 7。

7. 导航至下列键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon

8. 在右窗格中，双击下列值。

Shell

9. 查看数值数据框。它应当只包含文本 Explorer.exe，如下图所示。

10. 如果 Explorer.exe 的右侧有任何文本，如 warm.exe，

则删除该文本以便只保留 Explorer.exe，如步骤 9 中所示。

11. 单击“注册表”，然后单击“退出”。

描述者： Peter Ferrie

词条	W32.Magistr.39921@mm
释义	W32.Magistr.39921@mm是一种计算机病毒，主要感染系统有，Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP。由于提交数量增加，Symantec 自 2001 年 9 月 6 日起已将该病毒升级为 3 类。 W32.Magistr.39921@mm 是 W32.Magistr.24876@mm 的一个变种。简介防护威胁评估(广度损坏分发) 建议清除简介发现： 2001 年 9 月 3 日更新： 2007 年 2 月 13 日 1:02:36 PM 别名： I-Worm.Magistr.b [Kaspersky], W32.Magistr.B@mm, W32/Magistr.b@MM [McAfee], W32/Magistr.32768@mm [Frisk], PE_Magistr.B [Trend], W32/Magistr-B [Sophos], Win32.Magistr.29188 [Computer 类型: Worm, Virus 感染长度： 39,921 bytes 防护 * 病毒定义（每周 LiveUpdate™） 2001 年 9 月 4 日 * 病毒定义（智能更新程序） 2001 年 9 月 4 日威胁评估广度 * 广度级别： Low * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： Medium * 威胁抑制： Moderate * 清除： Moderate 损坏 * 损坏级别： High * 大规模发送电子邮件： Uses email addresses from the Windows and Eudora Address Book files, Outlook Express Sent Items folder, and Netscape Sent Items files. * 泄露机密信息： It could send confidential Microsoft Word documents to others. * 导致系统不稳定： Overwrites hard drives, erases CMOS, flashes the BIOS. 分发 * 分发级别： High * 电子邮件的主题： Randomly generated text that can be up to 60 characters long. * 附件名称： One randomly named infected executable and several randomly selected text or document files * 感染目标： All Windows PE files that are not .dll files. 下面列出了其他功能以及 W32.Magistr.39921@mm 与 W32.Magistr.24876@mm 之间的行为区别： * 识别 Eudora 通讯簿（在 Eudora.ini中列出。） * 搜索文件时删除 .ntz。试图禁用 ZoneAlarm 的用户界面（不会禁用 ZoneAlarm 防火墙功能。） * 在 System.ini 的 Boot 部分的 Shell=explorer.exe 行中添加一项，调用 W32.Magistr.Trojan。在某些情况下，它可能添加一个或多个注册表项。 * 搜索多个 Windows 文件夹（Winnt、Windows、Win95、Win98、Winme、Win2000、Win2k、Winxp。） * 通过电子邮件发送具有随机扩展名（.exe、.bat、.pif 或 .com）的附件。 * 偶尔会将 .gif 文件附加到电子邮件中。 * 有效负载用代码覆盖所有驱动器上的 Ntldr (Windows NT/2000/XP) 和 Win.com（所有 Windows 32 OS）文件，从而导致在第一个 IDE 硬盘驱动器的第一个扇区中存储有垃圾数据。 Symantec 提供的工具 Fixmagi.com 用于杀除 W32.Magistr@mm 的所有已知变种的感染。建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。要杀除 W32.Magistr.39921@mm 及其放入的特洛伊木马，请运行 NAV 并修复所有受感染的文件。无法修复的文件应当予以删除。然后删除 System.ini 的 Shell= 行中的 W32.Magistr.Trojan 项及该病毒添加到注册表中的所有项。清除 W32.Magistr.39921@mm： 1. 运行 LiveUpdate，确保您的病毒定义是最新的。 2. 启动 Norton AntiVirus (NAV)，并确保 NAV 配置为扫描所有文件。有关如何完成此操作的指导，请参阅文档：如何配置 Norton AntiVirus 扫描所有文件。 3. 运行完整的系统扫描。 4. 如果有任何文件被检测为感染了 W32.Magistr.39921@mm ，应记录下文件名，然后单击“修复”。无法修复的文件应予以删除。如果需要，请从干净的备份中还原已删除的文件。警告：必须从备份副本中还原或从原始安装光盘中提取被检测为 W32.Magistr.Trojan（注意 Trojan 扩展名）的文件。（这些文件是系统文件 Ntldr 和 Win.com。Ntldr 是在 Windows NT/2000/XP 计算机上找到的。Win.com 是在所有 Windows 32 OS 上找到的。）缺少这些文件，您的系统将无法正常运行。有关的操作信息，请参阅 Windows 文档或下列文档之一： o 如何在 Windows 98 和 Windows Me 中提取文件（英文）。 o 如何使用 Windows 2000 或 Windows NT 4.0 提取文件（英文）。从 System.ini 中删除 W32.Magistr.Trojan 项： 1. 在 NAV 扫描过程中，记录下感染了 W32.Magistr.Trojan 的所有文件的名称。 2. 单击“开始”，然后单击“运行”。 3. 键入下列内容，然后单击“确定”： edit c:\\windows\\system.ini MS-DOS 编辑器打开。注意：如果 Windows 安装在其他位置，请用相应的路径替换。 4. 在文件的 [boot] 部分，查找下列项 shell=Explorer.exe 5. 将光标放置在紧挨 Explorer.exe 的右侧。 6. 按 Shift+End 选择 Explorer.exe 右侧的所有文本，然后按 Delete。 7. 单击 File，然后单击 Exit。 8. 当询问您是否保存更改时，单击“Yes”。注意：如果按照上述杀毒指导操作后仍然出现问题，则按照 W32.Magistr.24876@mm杀毒部分中的指导执行操作。编辑注册表：警告：强烈建议进行任何更改之前先备份系统注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。请只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。“运行”对话框出现。 2. 键入 regedit，然后单击“确定”。注册表编辑器打开。 3. 导航至下列键： HKEY_Local_Machine\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，查找具有随机文件名及 .exe 扩展名且指向 \\WinNT\\System 或 \\Windows\\System 文件夹的值。这可能是在运行完整的系统扫描时被检测为 W32.Magistr.39921@mm 的文件的名称。 5. 删除找到的所有此类值。 6. 执行下列操作之一： o 如果运行的是 Windows 95/98/Me，单击“注册表”，然后单击“退出”。 o 如果运行的是 Windows NT/2000/XP，则继续步骤 7。 7. 导航至下列键： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon 8. 在右窗格中，双击下列值。 Shell 9. 查看数值数据框。它应当只包含文本 Explorer.exe，如下图所示。 10. 如果 Explorer.exe 的右侧有任何文本，如 warm.exe，则删除该文本以便只保留 Explorer.exe，如步骤 9 中所示。 11. 单击“注册表”，然后单击“退出”。描述者： Peter Ferrie
随便看	伊春第一中学伊春电视台伊春飞机失事事件伊春河伊春滑雪场伊春技师学院伊春金山屯白山狩猎场伊春金山屯大丰河漂流伊春客机失事伊春客机失事空难伊春恐龙博物馆伊春林都机场伊春林业中心医院伊春六中伊春美溪回龙湾山庄伊春美溪金沙河漂流伊春南山风景旅游区伊春区伊春区第八中学伊春区二中伊春区水上公园伊春权权伊春市伊春市博物馆伊春市朝阳小学