W32.Swen.A@mm 是一种使用自己的 SMTP 引擎进行传播的群发邮件蠕虫。它试图通过文件共享网络（例如 KaZaA 和 IRC）进行传播，并试图终止计算机上运行的防病毒和个人防火墙程序。

简介(CVE 参考： CVE-2001-0154 威胁评估)

执行 W32.Swen.A@mm 时，蠕虫执行操作

通过电子邮件传播(通过 IRC 传播 通过网络共享传播 通过新闻组传播)

简介

发现： 2003 年 9 月 18 日

更新： 2007 年 2 月 13 日 12:12:04 PM

别名： Swen [F-Secure], W32/Swen@mm [McAfee], W32/Gibe-F [Sophos], I-Worm.Swen [KAV], Win32 Swen.A [CA], WORM_SWEN.A [Trend], Worm.Automat.AHB [Previous Sym

类型: Worm

感染长度： 106,496 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

CVE 参考： CVE-2001-0154

由于提交次数的增加，Symantec 安全响应中心自 2003 年 9 月 18 日周四 6:30pm 起，将 W32.Swen.A@mm 升级为 3 类威胁。

注意：数字免疫系统自动创建的定义以前将此威胁检测为 Worm.Automat.AHB。

该蠕虫以电子邮件附件的形式到达。电子邮件的主题、正文和发件人地址各不相同。例如，有些邮件自称是 Microsoft Internet Explorer 的补丁程序，或是来自 qmail 的邮递失败通知。

W32.Swen.A@mm 在功能上类似于 W32.Gibe.B@mm，是用 C++ 编写的。

此蠕虫利用 Microsoft Outlook 和 Outlook Express 中的漏洞，试图在您打开甚至预览邮件时自行执行。有关漏洞的信息和相应的补丁程序，

Symantec 安全响应中心开发了一种杀毒工具，可用来清除 W32.Swen.A@mm 感染。

防护

* 病毒定义（每周 LiveUpdate™即智能更新程序） 2003 年 9 月 18 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Difficult

损坏

* 损坏级别： Medium

* 危及安全设置： Attempts to terminate processes associated with various programs.

分发

* 分发级别： High

* 电子邮件的主题： Varies

* 附件名称： Varies with .exe or .zip file extension.

* 附件大小： 106,496 bytes

执行 W32.Swen.A@mm 时，蠕虫执行操作

1. 检查计算机是否已安装该蠕虫。如果已安装，安装程序会终止并显示下面的信息：

2. 如果执行的文件名以字母 q、u、p 或 i 开头，蠕虫会向用户显示对话框，伪装成“Microsoft Internet Update Pack”。

不管用户此时如何选择，蠕虫都会安装自身。如果您选择"No",蠕虫会悄悄地安装，如果选择"Yes", 下面的窗口会显示安装过程：

3. 试图终止下列进程：

* Azonealarm

* zapro

* wfindv32

* webtrap

* vsstat

* vshwin32

* vsecomr

* vscan

* vettray

* vet98

* vet95

* vet32

* vcontrol

* vcleaner

* tds2

* tca

* sweep

* sphinx

* serv95

* safeweb

* rescue

* regedit

* rav

* pview

* pop3trap

* persfw

* pcfwallicon

* pccwin98

* pccmain

* pcciomon

* pavw

* pavsched

* pavcl

* padmin

* outpost

* nvc95

* nupgrade

* nupdate

* normist

* nmain

* nisum

* navw

* navsched

* navnt

* navlu32

* navapw32

* nai_vs_stat

* msconfig

* mpftray

* moolive

* luall

* lookout

* lockdown2000

* kpfw32

* jedi

* iomon98

* iface

* icsupp

* icssuppnt

* icmoon

* icmon

* icloadnt

* icload95

* ibmavsp

* ibmasn

* iamserv

* iamapp

* gibe

* f-stopw

* frw

* fp-win

* f-prot95

* fprot95

* f-prot

* fprot

* findviru

* f-agnt95

* espwatch

* esafe

* efinet32

* ecengine

* dv95

* claw95

* cfinet

* cfind

* cfiaudit

* cfiadmin

* ccshtdwn

* ccapp

* bootwarn

* blackice

* blackd

* avwupd32

* avwin95

* avsched32

* avp

* avnt

* avkserv

* avgw

* avgctrl

* avgcc32

* ave32

* avconsol

* autodown

* apvxdwin

* aplica32

* anti-trojan

* ackwin32

* _avp

4. 将自身的副本以随机生成的文件名放入 %Windir% 中。

注意：%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹（默认为 C:\\Windows 或 C:\\Winnt），然后将自身复制到其中。

5. 在硬盘的 .html、.asp、.eml、.dbx、.wab、.mbx 文件中搜索电子邮件地址。

6. 创建文件 %Windir%\\Germs0.dbv，在其中存储它找到的电子邮件地址。

7. 创建文件 %Windir%\\Swen1.dat，在其中存储远程新闻和邮件服务器列表。

8. 放入 %ComputerName%.bat 文件，该文件执行蠕虫和随机命名的配置文件以存储计算机特定的本地数据。

注意：%ComputerName% 是一个变量，代表受感染计算机的名称。

9. 将值：

* "CacheBox Outfit"="yes"

* "ZipName"="<random>"

* "Email Address"="<The current users email address that the worm retrieves from the registry>"

* "Server"="<The IP address of the SMTP server that the worm retrieves from the registry>"

* "Mirc Install Folder"="<location of mirc client on system>"

* "Installed"="...by Begbie"

* "Install Item"="<random>"

* "Unfile"="<random>"

添加到键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\explorer\\*

其中 * 是一组随机的字母。

10. 将随机命名的值添加到：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

使蠕虫在 Windows 启动时随之启动。

11. 修改下列注册表键：

* HKEY_LOCAL_MACHINE\\Software\\CLASSES\\exefile\\shell\\open\\command

* HKEY_LOCAL_MACHINE\\Software\\CLASSES\\regfile\\shell\\open\\command

* HKEY_LOCAL_MACHINE\\Software\\CLASSES\\scrfile\\shell\\open\\command

* HKEY_LOCAL_MACHINE\\Software\\CLASSES\\comfile\\shell\\open\\command

* HKEY_LOCAL_MACHINE\\Software\\CLASSES\\batfile\\shell\\open\\command

* HKEY_LOCAL_MACHINE\\Software\\CLASSES\\piffile\\shell\\open\\command

从而将蠕虫钩连到其中每种文件类型。

12. 修改注册表键：

"DisableRegistryTools" = "1"

中的值：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System

以防止用户在系统上运行 regedit。

13. 定期向用户显示伪造的 MAPI32 Exception 错误，

提醒他们输入其电子邮件帐户的详细信息，包括下列信息：

* Username

* Password

* POP3 server

* SMTP server

14. 蠕虫会使用用户名和密码登录 POP3 服务器并检查用户的电子邮件。如果蠕虫发现一封自己发出的邮件就会将其删除。蠕虫只删除从已感染的计算机发出的信息。

15. 向用户显示下列伪造的错误消息，然后在运行特定可执行文件（例如 regedit）时退出：

16. 向预定义的 HTTP 服务器发送 HTTP Get 请求以提取蠕虫首次运行时的计数器信息。然后，蠕虫可能会显示该计数器信息。例如：

17. 先使用 Winzip 再使用 Winrar 文件压缩工具创建一份或多份自身的压缩版本。

蠕虫通过电子邮件、KaZaA、IRC、网络共享和新闻组传播。以下部分讨论了上面每种传播方法是如何进行的。

通过电子邮件传播

W32.Swen.A@mm 将自身的副本发送到通过各种方法在系统上找到的地址。蠕虫会改变它发送的消息以及它附加自己时使用的文件名。它利用 Microsoft Security Bulletin MS01-020 中提及的不正确的 MIME 头漏洞以确保在查看邮件时能自动执行。

其中一种消息伪装成来自 Microsoft 的紧急消息，建议用户用使用它的附件更新系统。附件名的创建如下：

1. 从下列名字中选择一个。

* Patch

* Upgrade

* Update

* Installer

* Install

* Pack

* Q

2. 随后是几个随机数字组成的序列。

3. 使用 .exe 或 .zip 作为扩展名。

蠕虫还可以模仿邮件邮递失败通知，将自身附加为随机命名的可执行文件。

例如：

"I'm sorry I wasn't able to deliver your message to one or more destinations."

通过 KaZaA 传播

试图通过 KaZaA 传播时，W32.Swen.A@mm 会执行下列操作：

1. 将自身的副本放入系统上 %Temp% 下的随机命名的子目录中。

注意：%Temp% 是一个变量。蠕虫会找到 Windows 安装文件夹（默认为 C:\\Windows 或 C:\\Winnt），然后将自身复制到其中。

2. 将值：

"Dir99"= 012345:"<random folder name>"

"DisableSharing"="0"

添加到注册表键：

HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent

从而将此文件夹添加到 KaZaA 中的共享文件夹列表中。

注意：<random folder name> 是在上面的步骤 1 中在 %Temp% 下创建的文件夹。

3. 其中部分可能放入的文件名包括：

* Virus Generator

* Magic Mushrooms Growing

* Cooking with Cannabis

* Hallucinogenic Screensaver

* My naked sister

* XXX Pictures

* Sick Joke

* XXX Video

* XP update

* Emulator PS2

* XboX Emulator

* Sex

* HardPorn

* Jenna Jameson

* 10.000 Serials

* Hotmail hacker

* Yahoo hacker

* AOL hacker

* fixtool

* cleaner

* removal tool

* remover

* Klez

* Sobig

* Sircam

* Gibe

* Yaha

* Bugbear

* installer

* upload

* warez

* hacked

* hack

* key generator

* Windows Media Player

* GetRight FTP

* Download Accelerator

* Mirc

* Winamp

* WinZip

* WinRar

* KaZaA

* KaZaA media desktop

* Kazaa Lite

通过 IRC 传播

试图通过 IRC 传播时，W32.Swen.A@mm 会执行下列操作：

1. 搜索 \\Mirc 文件夹。

2. 在此文件夹中创建 Script.ini 文件，蠕虫使用该文件将自身发送给其他与受感染计算机连接到同一信道的 mIRC 用户。

通过网络共享传播

试图通过网络共享传播时，W32.Swen.A@mm 会试图找到所有映射的网络驱动器上的 Startup 文件夹：

* \\Win98\\Start menu\\Programs\\Startup

* \\Win95\\Start menu\\Programs\\Startup

* \\WinMe\\Start menu\\Programs\\Startup

* \\Windows\\Start menu\\Programs\\Startup

* \\Documents and Settings\\All Users\\Start menu\\Programs\\Startup

* \\Documents and Settings\\Administrator\\Start menu\\Programs\\Startup

* \\Documents and Settings\\Default User\\Start menu\\Programs\\Startup

* \\Winnt\\Profiles\\All Users\\Start menu\\Programs\\Startup

* \\Winnt\\Profiles\\Administrator\\Start menu\\Programs\\Startup

* \\Winnt\\Profiles\\Default User\\Start menu\\Programs\\Startup

通过新闻组传播

W32.Swen.A@mm 还可能试图将自身分发到地址包含在蠕虫内部的预定新闻组。如果系统没有设置新闻组，蠕虫会从事先准备的清单中随机选取一个。蠕虫会下载可用的新闻组，并向随机选中的新闻组发送信息。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

注意：由于该蠕虫对 Windows 注册表进行了大量更改，因此，如果该蠕虫已经运行，并且 Symantec 防病毒产品随后将其隔离或删除，则杀除该蠕虫可能较难。

请根据实际情况，按照相应部分中的指导进行操作。强烈建议您在开始操作之前，首先阅读相应部分中的所有指导。

W32.Swen.A@mm 尚未被隔离或删除

如果 Symantec 防病毒产品尚未隔离或删除 W32.Swen.A@mm，并且您怀疑或知道自己的系统上存在 W32.Swen.A@mm，请执行下列操作：

1. 下载并运行 W32.Swen.A@mm 杀毒工具。W32.Swen.A@mm 杀毒工具文档中提供了完整指导。

2. 运行此工具后，更新病毒定义。Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。

3. 运行完整的系统扫描。

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Swen.A@mm，请单击“删除”。

W32.Swen.A@mm 已被隔离或删除

如果 Symantec 防病毒产品已经检测到 W32.Swen.A@mm，并随后将其隔离或删除，您将无法运行 .exe、.com 和其他可执行文件。请根据操作系统执行下面相应部分中的操作。

Windows 95/98

1. 重新启动计算机。

2. 执行下列操作之一：

* Windows 95：当屏幕上出现“正在启动 Windows 95…”时，按 F8 键。将出现 Windows 95 启动菜单。

* Windows 98：在计算机重新启动时，按住 Ctrl 键，直到出现 Windows 98 启动菜单。

注意：在一些计算机上，如果在重新启动过程中持续按住 Ctrl 键，可能会出现键盘错误或其他错误。如果发生这种情况，请根据提示按某个键继续（例如，消息可能提示您按 Esc 键），然后立即再次按 Ctrl 键。

3. 选择“Command Prompt only”。

4. 键入下列命令，每键入完一行即按 Enter 键：

cd\\

cd windows

edit repair.reg

将打开 DOS 编辑器。

5. 严格按照如下显示向 DOS 文本编辑器中键入下列行：

REGEDIT4

[HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command]

@="\\"%1\\" %*"

[HKEY_CLASSES_ROOT\\regfile\\shell\\open\\command]

@="regedit.exe \\%1\\"

6. 同时按 Alt 键和 F 键以访问 File 菜单，然后按 X 键退出 DOS 文本编辑器。出现提示时，按 Enter 键确认要保存该文件。这将返回到命令提示符。

7. 键入下列命令，每键入完一行即按 Enter 键。必须严格按照下面的显示键入这些命令：

regedit /e backup.reg hkey_classes_root\\exefile

regedit /d hkey_classes_root\\exefile\\shell\\open\\command

regedit /d hkey_classes_root\\regfile\\shell\\open\\command

regedit repair.reg

8. 重新启动计算机。

9. 下载并运行 W32.Swen.A@mm 杀毒工具。W32.Swen.A@mm 杀毒工具文档中提供了完整指导。

10. 运行此工具后，更新病毒定义。Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。

11. 运行完整的系统扫描。

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Swen.A@mm，请单击“删除”。

Windows Me

要在 Windows Me 上执行此过程，必须具有 Windows Me 启动盘。如果找不到计算机附带的 Windows Me 启动盘，可以从 PC 供应商或当地计算机商店获得。

1. 在软盘驱动器中插入 Windows Me 启动盘，然后重新启动计算机。计算机将打开并显示 MS-DOS 提示符。

2. 键入下列命令，每键入完一行即按 Enter 键：

c:

cd\\

cd windows

edit repair.reg

将打开 DOS 文本编辑器。

3. 严格按照如下显示向 DOS 文本编辑器中键入下列命令行：

REGEDIT4

[Hkey_classes_root\\exefile\\shell\\open\\command]

@="\\"%1\\" %*"

[Hkey_classes_root\\regfile\\shell\\open\\command]

@="regedit.exe \\%1\\"

4. 同时按 Alt 键和 F 键以访问 File 菜单，然后按 X 键退出 DOS 文本编辑器。出现提示时，按 Enter 键确认要保存该文件。这将返回到命令提示符。

5. 键入下列命令，每键入完一行即按 Enter 键。必须严格按照下面的显示键入这些命令：

regedit /e backup.reg hkey_classes_root\\exefile

regedit /d hkey_classes_root\\exefile\\shell\\open\\command

regedit /d hkey_classes_root\\regfile\\shell\\open\\command

regedit repair.reg

6. 重新启动计算机。

7. 下载并运行 W32.Swen.A@mm 杀毒工具。W32.Swen.A@mm 杀毒工具文档中提供了完整指导。

8. 运行此工具后，更新病毒定义。Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。

9. 运行完整的系统扫描。

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Swen.A@mm，请单击“删除”。

Windows NT/2000/XP

1. 下载 W32.Swen.A@mm 杀毒工具，然后开始按照 W32.Swen.A@mm 杀毒工具文档中的指导进行操作。但在执行到步骤 5（指导您“双击 FixSwen.exe 文件”）时，请停止操作。不要双击该文件，而应执行下列操作：

1. 用鼠标右键单击 FixSwen.exe 文件，然后单击“重命名”。

2. 将该文件重命名为：

FixSwen.cmd

3. 当系统询问您是否要更改文件扩展名时，单击“是”。

4. 双击 FixSwen.cmd 文件，然后继续进行杀毒工具文档中的操作。

2. 运行此工具后，更新病毒定义。Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从 Symantec 安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

有关获得“智能更新程序”病毒定义的详细指导，请参阅 如何使用智能更新程序更新病毒定义文件。

3. 运行完整的系统扫描。

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Swen.A@mm，请单击“删除”。

描述者： John Canavan