赛门铁客:W32.Netsky.B@mm分析 |
|---|
|
| www.iselong.com 作者: |
|
W32.Netsky.B@mm
发现时间: 2004.02.18
上次更新时间: 2004.02.19
W32.Netsky.B 是群发邮件蠕虫,它使用自己的 SMTP 引擎将自己发送到在扫描硬盘和映射的驱动器时找到的电子邮件地址。该蠕虫还会搜索驱动器 C 到 Z,查找名称中包含“Share”或“Sharing”的文件夹,然后将自己复制到这些文件夹中。
主题、正文和电子邮件附件无一定之规。
赛门铁克安全响应中心开发了一种杀毒工具,可用来清除 W32.Netsky.B@mm 感染。
也称为: W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky]
变种: W32.Netsky@mm
类型: Worm
感染长度: 22,016 bytes
受影响的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
未受影响的系统: Linux, Macintosh, UNIX, Windows 3.x
广度:
感染数量: 大于 1000
站点数量: 大于 10
地理分布: 中度
威胁遏制: 容易
消除威胁能力: 一般
威胁度量
广度:
高度
损坏程度:
低度
分发:
高度
损坏程度
有效载荷触发器: n/a
有效载荷: n/a
大量电子邮件发送: n/a
删除文件: n/a
修改文件: n/a
降低性能: n/a
造成系统不稳定: n/a
发布保密信息: n/a
危及安全设置: n/a
分发
电子邮件主题: n/a
附件名称: n/a
附件大小: n/a
附件的时戳: n/a
端口: n/a
共享驱动器: n/a
感染目标: n/a
When W32.Netsky@mm 运行时会执行下列操作:
创建名为“AdmSkynetJKIS003”的互斥体。此互斥体仅允许该蠕虫的一个实例在内存中执行。
可能显示具有以下文本的对话框:
The file could not be opened!
将自身复制为 %Windir%\services.exe
--------------------------------------------------------------------------------
注意:%Windir% 是一个变量。该蠕虫会找到 Windows 安装文件夹(默认为 C:\Windows 或 C:\Winnt),然后将自身复制到其中。
--------------------------------------------------------------------------------
将值:
"service" = "%Windir%\services.exe -serv"
添加到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这样,此蠕虫便可在 Windows 启动时运行。
将值:
"Taskmon"
"Explorer"
从以下注册表键删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
将值:
"KasperskyAV"
"System."
从以下注册表键删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除注册表键:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
从具有以下文件扩展名的文件检索电子邮件地址:
.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml
搜索驱动器 C 到 Z,查找名称中包含“Share”或“Sharing”的文件夹。
doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe
使用它自己的 SMTP 引擎将其自身发送到在上述位置找到的电子邮件地址。
此类电子邮件有以下特征:
发件人:<欺骗性地址>
主题:(下列之一)
hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown
消息:(下列之一)
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool
附件:
W32.Netsky.B@mm 会在 48.5% 的情况下创建一个 .zip 文件,其中会包含一个蠕虫自身的备份。这两个文件名都是随机从下面的列表中选取。
其它情况下,蠕虫会创建一个可执行文件作为附件。附件名为下列之一。
附件名:
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc
附件扩展名:
如果附件是可执行文件,蠕虫会在 53.8% 的情况下创建一个附加扩展名。如果附件是一个 .zip 文件,.zip 中的可执行文件会在 33% 的情况下拥有一个附加扩展名。不同的扩展名可能包括下列之一:
.txt
.rtf
.doc
.htm
所有的可执行文件的扩展名会为下列之一:
.exe
.scr
.com
.pif
在 %Windir% 文件夹中创建 40 个包含蠕虫副本的 .zip 文件。这些文件的名称符合上述附件名。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
使用杀毒工具杀毒
赛门铁克安全响应中心开发了一种杀毒工具,可用来清除 W32.Netsky.B@mm 感染。这是消除此威胁的最简便方法
当然,您也可以按照以下指示自己手动杀毒。
手动杀毒
以下指导适用于所有当前和最新的赛门铁克防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
禁用系统还原 (Windows Me/XP)。
更新病毒定义。
将计算机重启到安全模式或者 VGA 模式。
运行完整的系统扫描,并删除所有检测为 W32.Netsky.B@mm 的文件。
删除添加到注册表的值。
有关每个步骤的详细信息,请阅读以下指导。
禁用系统还原(Windows Me/XP)
如果您运行的是 Windows Me 或 Windows XP,建议您暂时关闭“系统还原”。此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此,防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描可能还会检测到 System Restore 文件夹中的威胁,即使您已将该威胁删除。
有关如何关闭系统还原功能的指导,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
--------------------------------------------------------------------------------
注意:蠕虫移除干净后,请按照上述文章所述恢复系统还原的设置。
--------------------------------------------------------------------------------
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
更新病毒定义
赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
将计算机重启到安全模式或者 VGA 模式
請关闭计算机,等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。所有 Windows 32-bit 操作系统,除了Windows NT,可以被重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
Windows NT 4 用户:将计算机重启到 VGA 模式。
扫描和删除受感染文件
启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被 W32.Netsky.B@mm 感染,请单击“删除”。
从注册表中删除值
--------------------------------------------------------------------------------
注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何备份 Windows 注册表」文件。
--------------------------------------------------------------------------------
单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
键入 regedit 然后单击“确定”。(将打开注册表编辑器。)
导航至以下键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右窗格中,删除值:
"service" = "%Windir%\services.exe -serv"
退出注册表编辑器。
作者: Fergal Ladley
|
