簡介
發現: 2002 年 6 月 6 日更新: 2007 年 2 月 13 日 11:46:57 AM
別名: VBS/VBSWG.aq@MM 【McAfee】, VBS_VBSWG.AQ 【Trend】, VBS/VBSWG-AQ 【Sophos】, VBSWG.AQ 【F-Secure】, VBS.VBSWG.AQ 【CA】, VBS/VBSWG.AQ@mm 【Norman】, Worm/Shakira 【Vexira】
類型: Worm
感染長度: 7,995 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows NT, Windows XP
由於提交率的提高,賽門鐵克安全回響中心自 2002 年 6 月 6 日起,將 VBS.VBSWG.AQ@mm 的威脅級別從 2 類升級為 3 類。
VBS.VBSWG.AQ@mm 是一種 VBScript 威脅,被設計為將其自身作為 ShakiraPics.jpg.vbs 傳送給 Microsoft Outlook 或 IRC 的用戶。該威脅也會用它自己的代碼覆蓋 .vbs 和 .vbe 檔案。此類電子郵件有以下特徵:
主題:Shakira's Pictures
正文:
Hi :
i have sent the photos via attachment
have funn...
附屬檔案:ShakiraPics.jpg.vbs
注意:該威脅以前檢測為 zoo 威脅,但在 2002 年 6 月 6 日在外界有所發現。
防護
* 病毒定義(每周 LiveUpdate™) 2002 年 5 月 29 日
* 病毒定義(智慧型更新程式) 2002 年 5 月 29 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: 0 - 49
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Easy
損壞
* 損壞級別: Low
* 大規模傳送電子郵件: Uses Microsoft Outlook to send itself to all your contacts.
分發
* 分發級別: High
* 電子郵件的主題: Shakira's Pictures
* 附屬檔案名稱: ShakiraPics.jpg.vbs
* 附屬檔案大小: 7,995 bytes
該威脅使用名為 VBSWG 的構造套件創建。該套件使蠕蟲的作者能夠選擇分發檔案的方式和檔案分發時所用的檔案名稱。在賽門鐵克安全回響中心收到的樣本中,其作者就選擇了 Microsoft Outlook 和 mIRC 作為分發機制。作者想稱該威脅為 VBS.Shakira,這一點可以由腳本中所有指令前的注釋行看出來:
'Vbs.ShakiraPics Created By TGK
如果 VBS.VBSWG.AQ@mm 得到執行,它就會進行:
將其自身以名稱 ShakiraPics.jpg.vbs 複製到 \%Windows% 資料夾。
注意:%Windows% 是一個變數。蠕蟲會定位 \Windows 資料夾(默認位置是 C:\Windows 或 C:\Winnt),再將自身複製到該位置。
它會將值
Registry wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
添加到註冊表鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
然後,它會搜尋所有可用驅動器(包括軟碟機和其他可移動介質)上的 .vbs 和 .vbe 檔案,並嘗試使用它自己的代碼覆蓋這些檔案。
隨後會嘗試使用 Microsoft Outlook 將自己傳送給您的聯繫人。該電子郵件訊息的格式如下:
主題:Shakira's Pictures
正文:
Hi :
i have sent the photos via attachment
have funn...
附屬檔案:ShakiraPics.jpg.vbs
該威脅會覆蓋 mIRC 配置檔案 (Script.ini),這樣它就可以在您加入聊天伺服器時傳送它自己的一個副本。
注意:
* 如果該威脅使用 Outlook 進行自身傳送,它會創建以下註冊表項,表明它已運行了該例程:
HKEY_CURRENT_USER\Software\ShakiraPics
"mailed" = "1"
* 如果它為了進行自身傳送修改了 mIRC,它會修改該註冊表以表明該例程已運行:
HKEY_CURRENT_USER\Software\ShakiraPics
"mirqued" = "1"
當該威脅完成了執行後,會顯示以下訊息:
建議
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
要刪除此蠕蟲:
* 運行全面的系統掃描,並刪除檢測為 VBS.VBSWG.AQ@mm 的檔案。
* 從註冊表鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除值
Registry wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
有關如何進行此操作的說明,請參閱下列文檔:
掃描和刪除蠕蟲:
1. 獲得最新的病毒定義。可通過兩種方法獲得:
* 運行 LiveUpdate。LiveUpdate 是獲得病毒定義最簡便的方法。這些病毒定義經過賽門鐵克安全回響中心的全面質量監控檢測,如果未遇重大病毒爆發情況,會在每周的某個時間發布在 LiveUpdate 伺服器上(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義 (LiveUpdate) 行。
* 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義已經過賽門鐵克安全回響中心的全面質量監控檢測。會在工作日(周一至周五,美國時間)發布。必須從賽門鐵克安全回響中心下載病毒定義,並進行手動安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)行。
“智慧型更新程式” 病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝“智慧型更新程式”病毒定義,請單擊這裡。
2. 啟動 Norton AntiVirus (nav),並確保將 NAV 配置為掃描所有檔案。
* NAV 單機版產品:請閱讀文檔“如何配置 Norton AntiVirus 以掃描所有檔案(英文)”。
* NAV 企業版產品:請閱讀“如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案(英文)”。
3. 運行全面的系統掃描。
4. 刪除所有被檢測為 VBS.VBSWG.AQ@mm 的檔案。
從註冊表刪除值:
警告:務必在做任何更改前備份註冊表。對註冊表的非正確更改將造成永久性的數據遺失或檔案破壞。只修改指定的鍵。有關指導,請參閱文檔“如何備份 Windows 註冊表”。
1. 單擊“開始”,然後單擊“運行”。將出現“運行”對話框。
2. 鍵入 regedit,然後單擊“確定”。將打開“註冊表編輯器”。
3. 導航至下面的鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除下列值:
Registry wscript.exe C:\WINNT\ShakiraPics.jpg.vbs %
5. 單擊“註冊表”,然後單擊“退出”。
6.
描述者: Patrick Nolan