病毒簡介
發現: 2001 年 4 月 11 日更新: 2007 年 2 月 13 日 11:38:29 AM
別名: W32/Badtrans-A 【Sophos】, W32/Badtrans@MM 【McAfee】, BadTrans, I-Worm.Badtrans 【KAV】, WORM_BADTRANS.A 【Trend】, TROJ_BADTRANS.A 【Trend】, Win32.Badtrans.13312 【CA】, Pws-AV Trojan, W32.Badtrans.13312@mm, Trojan.Psw.Hooker
類型: Worm
感染長度: 13,312 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2001-0154
由於提交數量的減少,該蠕蟲的威脅級別從 4 降到 3。
這是一種 MAPI 蠕蟲,它答覆電子郵件資料夾中的所有未讀郵件,並放入一個特洛伊木馬後門程式。
注意:2002 年 10 月 22 日之前的病毒定義會將其檢測為 W32.Badtrans.13312@mm。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 4 月 11 日
* 病毒定義(智慧型更新程式) 2001 年 4 月 11 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: 50 - 999
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Easy
* 清除: Easy
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: It replies to all unread messages in the message folders within the default MAPI email program.
* 危及安全設定: It drops a BACKDOOR TROJAN.
分發
* 分發級別: High
當該蠕蟲被執行時,會在 \Windows 資料夾中放入一個特洛伊木馬後門程式 Hkk32.exe,並執行該程式。然後它將自身作為 inetd.exe 複製到 \Windows 資料夾中,同時在 Win.ini 檔案內加入一個 run= 行,並顯示如下錯誤訊息:
當計算機下次重新啟動時,該蠕蟲會等待五分鐘,然後使用 MAPI 查找並答覆所有未讀的電子郵件訊息。此外,該蠕蟲還使用下列任一檔案名稱將自身附加在郵件中:
Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
如何防毒
由於 W32.Badtrans.gen@mm 對不同作業系統的影響方式不同,因此如何殺除該蠕蟲取決於您的作業系統。請按順序執行下列操作。
殺除蠕蟲:
1. 運行LiveUpdate,確保您的病毒定義是最新的。
2. 啟動 Norton AntiVirus (NAV),然後運行完整的系統掃描,並確保 nav 設定為掃描所有檔案。
3. 刪除所有被檢測為 W32.Badtrans.gen@mm 的檔案。下一步操作取決於 NAV 能否刪除被檢測為受 W32.Badtrans.gen@mm 感染的檔案:
* 如果 NAV 能夠刪除被檢測為受感染的所有檔案,請執行下列操作之一:
+ 如果運行的是 Windows 95/98/Me,請跳到“編輯 Win.ini 檔案”部分。
+ 如果運行的是 Windows NT/2000 並且 NAV 能夠刪除所有受感染的檔案,則操作完成。
* 如果 NAV 不能刪除被檢測為受感染的所有檔案,請繼續下一部分,並根據您的作業系統參閱相應的指導。
刪除 NAV 不能刪除的檔案:
如果 NAV 不能刪除被檢測為受 W32.Badtrans.13312@mm 感染的檔案,請根據您的作業系統參閱相應的指導。
* Windows 95/98/Me
1. 以安全模式重新啟動計算機。有關如何以安全模式重新啟動計算機的指導,請參閱文檔:如何以安全模式重新啟動 Windows 9x 或 Windows Me。
2. 再次運行掃描,並刪除所有被檢測為 W32.Badtrans.gen@mm 的檔案。
3. 掃描完成後,請跳到“編輯 Win.ini 檔案”部分。
* Windows NT/2000/XP
1. 同時按下 Ctrl+Alt+Delete。
2. 單擊“任務管理器”。
3. 單擊“進程”選項卡。
4. 單擊“映像名稱”列標題兩次,按字母順序對進程排序。
5. 滾動列表並查找 inetd.exe 檔案,如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。
6. 滾動列表並查找 Kern32.exe。如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。
7. 關閉任務管理器。
8. 在 Windows 桌面上用滑鼠右鍵單擊“我的電腦”,然後單擊“資源管理器”。
9. 執行下列操作之一:
o 如果運行的是 Windows NT,請單擊“查看”選單,再單擊“資料夾選項”。
o 如果運行的是 Windows 2000/XP,請單擊“工具”選單,再單擊“資料夾選項”。
10. 單擊“查看”選項卡。
11. 執行下列操作之一:
o 如果運行的是 Windows NT,請單擊“顯示所有檔案”,並取消選中“隱藏已知檔案類型的擴展名”,然後單擊“確定”。
o 如果運行的是 Windows 2000/XP,請單擊“顯示所有檔案和資料夾”,並取消選中“隱藏已知檔案類型的擴展名”。
12. 在 Windows 資源管理器的左窗格中,用滑鼠右鍵單擊驅動器 C ,然後單擊“查找”(Windows NT) 或“搜尋”(Windows 2000/XP)。
13. 在“名稱”或“要查找的檔案或資料夾名為”框中,鍵入(或複製並貼上)下列檔案名稱:
inetd.exe kern32.exe hkk32.exe hksdll.dll
14. 單擊“開始查找”或“立即搜尋”。
15. 搜尋完成後,記錄下所顯示檔案的名稱及位置。
16. 單擊“編輯”選單,然後單擊“全部選定”。
17. 按住 Shift 鍵,再按 Delete 鍵。持續按住 Shift 鍵直到出現刪除確認提示。單擊“是”。(按住 Shift 鍵的同時按 Delete 鍵可不經資源回收筒直接刪除檔案。)
18. 關閉 Windows 資源管理器。
19. 繼續“編輯註冊表”部分。
編輯註冊表:
警告:強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。請只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,再單擊“運行”。“運行”對話框出現。
2. 鍵入 regedit,再單擊“確定”。註冊表編輯器打開。
3. 導航至下列鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
4. 在右窗格中,刪除下列值
Kernel32 KERN32.EXE
5. 導航至下列鍵
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
6. 在右窗格中,刪除下列值
run <path>\Inetd.exe
7. 退出註冊表編輯器。
8. 重新啟動計算機。
9. 再次運行掃描,並刪除所有被檢測為 W32.Badtrans.13312@mm 的檔案。至此,對於 Windows NT/2000 用戶而言,防毒過程完成。
編輯 Win.ini 檔案:
如果運行的是 Windows 95/98/Me,還必須執行下列操作:
1. 單擊“開始”,再單擊“運行”。
2. 鍵入下列內容,然後單擊“確定”:
edit c:\windows\win.ini
注意:如果 Windows 安裝在其他位置,請用正確的路徑替換上面相應的內容。
3. 在 【windows】 部分,找到 run= 一行。該行應與下列行類似:
run=c:\windows\inetd.exe
4. 刪除 = 號右側的文本,使該行如下所示:
run=
5. 保存更改,然後退出MS-DOS編輯器。
描述者: Peter Ferrie