簡介
發現: 2004 年 3 月 13 日
更新: 2007 年 2 月 13 日 12:22:04 PM
別名: Win32.Bagle.N 【Computer Associ, Bagle.N 【F-Secure】, W32/Bagle.n@MM 【McAfee】, W32/Bagle.N 【Panda】, W32/Bagle-N 【Sophos】, PE_BAGLE.N 【Trend Micro】, I-Worm.Bagle.n 【Kaspersky】
類型:Worm
感染長度: varies;approximately 21kb-22kb
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
介紹
W32.Beagle.M@mm是一隻具多種形態且會大量傳送郵件的蠕蟲,它會使用自身的 SMTP 引擎透過電子郵件傳播。 就如同之前的 Beagle 變異體一樣,這隻蠕蟲會開啟後門 (在 TCP 埠號 2556 上監聽),並藉由將自身複製到名稱含有 shar 的資料夾中,以試圖透過檔案共享網路散布出去。 W32.Beagle.M@mm 還會感染擴展名為 EXE 的檔案。
受感染的電子郵件具有下列特徵:
寄件者:偽裝成似乎來自收件者域名的下列其中一個地址:
* management
* administration
* staff
* noreply
* support
主旨:以下其中之一:
* Account notify
* E-mail account disabling warning.
* E-mail account security warning.
* E-mail technical support message.
* E-mail technical support warning.
* E-mail warning
* Email account utilization warning.
* Email report
* Encrypted document
* Fax Message Received
* Forum notify
* Hidden message
* Important notify
* Important notify about your e-mail account.
* Incoming message
* Notify about using the e-mail account.
* Notify about your e-mail account utilization.
* Notify from e-mail technical support.
* Protected message
* RE: Protected message
* RE: Text message
* Re: Document
* Re: Hello
* Re: Hi
* Re: Incoming Fax
* Re: Incoming Message
* Re: Msg reply
* Re: Thank you!
* Re: Thanks :)
* Re: Yahoo!
* Request response
* Site changes
附屬檔案: 隨機命名的 .exe 檔案 (儲存在 .zip 檔案或 .rar 檔案之中) 或 .pif 檔案。 該 .zip 與 .rar 檔案可能會使用密碼保護。 檔案名稱稱 (不含擴展名) 是下列其中之一:
* Attach
* Details
* Document
* Encrypted
* Gift
* Info
* Information
* Message
* MoreInfo
* Readme
* Text
* TextDocument
* details
* first_part
* pub_document
* text_document
注意:
* 支持蠕蟲攔截功能的賽門鐵克的消費者產品已經自訂偵測到此威脅,並防範於未然。
* 目前沒有針對此蠕蟲的靜態 MD5 值可用。
* 版本 60314i (延伸版本 3/14/2004 rev 9) 的病毒定義檔案已發行,可針對密碼保護的 .rar 檔案提供強化的修復及偵測功能。
* 賽門鐵克安全回響已開發出可清除 W32.Beagle.M@mm 感染的防毒工具。
防護
* 病毒定義(每周 LiveUpdate™) 2004 年 3 月 13 日
* 病毒定義(智慧型更新程式) 2004 年 3 月 13 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Emails all the contacts it can find inside the files with the extensions .wab, .txt, .msg, .htm, .xml, .dbx, .mdx, .eml, .nch, .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .tbb, .sht, .uin, .cgi
* 修改檔案: Searches local fixed drives and attempts to infect files with the EXE extension.
* 危及安全設定: Allows unauthorized remote access. Terminates processes related to some security programs.
分發
* 分發級別: High
* 電子郵件的主題: Varies
* 附屬檔案名稱: Variable with .pif, .zip, or .rar file extension.
* 附屬檔案大小: Approximately 22kb
* 連線埠: Listens on TCP port 2556.
W32.Beagle.M@mm 會進行以下動作:
1. 建立下列檔案:
o %System%\winupd.exe: 蠕蟲的副本
o %System%\winupd.exeopen: 蠕蟲的副本
o %System%\winupd.exeopenopen: 可能是蠕蟲的副本,或是使用密碼保護的 zip 或 rar 檔案 (內含蠕蟲)
o %System%\winupd.exeopenopenopen: .bmp 檔案,內含 zip/rar 檔案密碼的影像。 這個檔案只有當 winupd.exeopenopen 是使用密碼保護的壓縮檔案時,才會建立。
注意:%System% 代表變數。蠕蟲會找到 System 資料夾並將自己複製過去。預設的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
2. 新增下列值:
"winupd.exe"="%System%\winupd.exe"
加入註冊表鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,當您啟動 Windows 時,W32.Beagle.M@mm 蠕蟲就會執行。
3. 終止下列程式,包括防毒軟體、與其它蠕蟲相關的程式,以及 regedit 和 netstat 等系統公用程式:
o agentsvr.exe
o ANTI-TROJAN.EXE
o ANTIVIRUS.EXE
o ANTS.EXE
o APIMONITOR.EXE
o APLICA32.EXE
o apvxdwin.exe
o ATCON.EXE
o ATguard.exe
o ATRO55EN.EXE
o ATUPDATER.EXE
o ATWATCH.EXE
o aupdate.exe
o AUTODOWN.EXE
o AUTOTRACE.EXE
o autoupdate.exe
o avconsol.exe
o AVGSERV9.EXE
o AVLTMAIN.EXE
o AVPUPD.EXE
o avsynmgr.exe
o AVWUPD32.EXE
o AVXQUAR.EXE
o AVprotect9x.exe
o Au.exe
o BD_PROFESSIONAL.EXE
o BIDEF.EXE
o BIDSERVER.EXE
o BIPCP.EXE
o BIPCPEVALSETUP.EXE
o BISP.EXE
o blackd.exe
o BLACKICE.EXE
o BOOTWARN.EXE
o BORG2.EXE
o BS120.EXE
o CDP.EXE
o cfgwiz.exe
o CFIADMIN.EXE
o CFIAUDIT.EXE
o CFINET.EXE
o CFINET32.EXE
o clean.exe
o CLEANER.EXE
o CLEANER3.exe
o CLEANPC.EXE
o cmgrdian.exe
o CMON016.EXE
o cpd.exe
o CPF9X206.EXE
o CPFNT206.EXE
o CV.EXE
o CWNB181.EXE
o CWNTDWMO.EXE
o D3dupdate.exe
o DEFWATCH.EXE
o DEPUTY.EXE
o DPF.EXE
o DPFSETUP.EXE
o Drwatson.exe
o DRWEBUPW.EXE
o ENT.EXE
o ESCANH95.EXE
o ESCANHNT.EXE
o ESCANV95.EXE
o EXANTIVIRUS-CNET.EXE
o fast.exe
o FIREWALL.EXE
o FLOWPROTECTOR.EXE
o FP-WIN_TRIAL.EXE
o FRW.EXE
o FSAV.EXE
o FSAV530STBYB.EXE
o FSAV530WTBYB.EXE
o FSAV95.EXE
o GBMENU.EXE
o gbpoll.exe
o GUARD.EXE
o HACKTRACERSETUP.EXE
o HTLOG.EXE
o HWPE.EXE
o IAMAPP.EXE
o IAMSERV.EXE
o ICLOAD95.EXE
o ICLOADNT.EXE
o ICMON.EXE
o ICSSUPPNT.EXE
o ICSUPP95.EXE
o ICSUPPNT.EXE
o IFW2000.EXE
o iparmor.exe
o IRIS.EXE
o JAMMER.EXE
o KAVLITE40ENG.EXE
o KAVPERS40ENG.EXE
o KERIO-PF-213-EN-WIN.EXE
o KERIO-WRL-421-EN-WIN.EXE
o KERIO-WRP-421-EN-WIN.EXE
o KILLPROCESSSETUP161.EXE
o LDPRO.EXE
o LOCALNET.EXE
o LOCKDOWN.EXE
o LOCKDOWN2000.EXE
o LSETUP.EXE
o luall.exe
o lucomserver.exe
o LUINIT.EXE
o mcagent.exe
o MCUPDATE.EXE
o MFW2EN.EXE
o MFWENG3.02D30.EXE
o mgui.exe
o minilog.exe
o MOOLIVE.EXE
o MRFLUX.EXE
o MSCONFIG.EXE
o MSINFO32.EXE
o MSSMMC32.EXE
o MU0311AD.EXE
o NAV80TRY.EXE
o navapw32.exe
o NAVDX.EXE
o NAVSTUB.EXE
o navw32.exe
o NC2000.EXE
o NCINST4.EXE
o NDD32.EXE
o NEOMONITOR.EXE
o NETARMOR.EXE
o NETINFO.EXE
o NETMON.EXE
o NETSCANPRO.EXE
o NETSPYHUNTER-1.2.EXE
o NETSTAT.EXE
o nisserv.exe
o nisum.exe
o nmain.exe
o NORTON_INTERNET_SECU_3.0_407.EXE
o NPF40_TW_98_NT_ME_2K.EXE
o NPFMESSENGER.EXE
o nprotect.exe
o NSCHED32.EXE
o ntvdm.exe
o NUPGRADE.EXE
o NVARCH16.EXE
o NWINST4.EXE
o NWTOOL16.EXE
o OSTRONET.EXE
o outpost.exe
o OUTPOSTINSTALL.EXE
o OUTPOSTPROINSTALL.EXE
o PADMIN.EXE
o PANIXK.EXE
o PAVPROXY.EXE
o PCC2002S902.EXE
o PCC2K_76_1436.EXE
o PCCIOMON.EXE
o PCDSETUP.EXE
o PCFWALLICON.EXE
o PCIP10117_0.EXE
o PDSETUP.EXE
o PERISCOPE.EXE
o persfw.exe
o PF2.EXE
o PFWADMIN.EXE
o PINGSCAN.EXE
o PLATIN.EXE
o poproxy.exe
o POPSCAN.EXE
o PORTDETECTIVE.EXE
o PPINUPDT.EXE
o PPTBC.EXE
o PPVSTOP.EXE
o PROCEXPLORERV1.0.EXE
o PROPORT.EXE
o PROTECTX.EXE
o PSPF.EXE
o PURGE.EXE
o PVIEW95.EXE
o QCONSOLE.EXE
o qserver.exe
o RAV8WIN32ENG.EXE
o REGEDIT.EXE
o Regedt32.exe
o RESCUE.EXE
o RESCUE32.EXE
o RRGUARD.EXE
o RSHELL.EXE
o rtvscn95.exe
o rulaunch.exe
o SAFEWEB.EXE
o sbserv.exe
o SD.EXE
o SETUPVAMEEVAL.EXE
o SETUP_FLOWPROTECTOR_US.EXE
o sfc.exe
o SGSSFW32.EXE
o SH.EXE
o SHELLSPYINSTALL.EXE
o SHN.EXE
o SMC.EXE
o SOFI.EXE
o SPF.EXE
o SPHINX.EXE
o SPYXX.EXE
o SS3EDIT.EXE
o ST2.EXE
o SUPFTRL.EXE
o supporter5.exe
o symproxysvc.exe
o SYSEDIT.EXE
o taskmon.exe
o TAUMON.EXE
o TAUSCAN.EXE
o TC.EXE
o TCA.EXE
o TCM.EXE
o TDS-3.EXE
o TDS2-98.EXE
o TDS2-NT.EXE
o TFAK5.EXE
o TGBOB.EXE
o TITANIN.EXE
o TITANINXP.EXE
o TRACERT.EXE
o TRJSCAN.EXE
o TRJSETUP.EXE
o TROJANTRAP3.EXE
o UNDOBOOT.EXE
o UPDATE.EXE
o VBCMSERV.EXE
o VBCONS.EXE
o VBUST.EXE
o VBWIN9X.EXE
o VBWINNTW.EXE
o VCSETUP.EXE
o VFSETUP.EXE
o VIRUSMDPERSONALFIREWALL.EXE
o VNLAN300.EXE
o VNPC3000.EXE
o VPC42.EXE
o VPFW30S.EXE
o VPTRAY.EXE
o VSCENU6.02D30.EXE
o VSECOMR.EXE
o vshwin32.exe
o VSISETUP.EXE
o vsmain.exe
o vsmon.exe
o vsstat.exe
o VSWIN9XE.EXE
o VSWINNTSE.EXE
o VSWINPERSE.EXE
o W32DSM89.EXE
o W9X.EXE
o watchdog.exe
o webscanx.exe
o WGFE95.EXE
o WHOSWATCHINGME.EXE
o winrecon.exe
o WNT.EXE
o WRADMIN.EXE
o WRCTRL.EXE
o WSBGATE.EXE
o WYVERNWORKSFIREWALL.EXE
o XPF202EN.EXE
o zapro.exe
o ZAPSETUP3001.EXE
o ZATUTOR.EXE
o ZAUINST.EXE
o ZONALM2601.EXE
o ZONEALARM.EXE
4. 刪除下列值:
o 9XHtProtect
o Antivirus
o HtProtect
o ICQ Net
o ICQNet
o My AV
o Special Firewall Service
o Tiny AV
o Zone Labs Client Ex
o service
從註冊表鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
5. 在 TCP 埠號 2556 上開啟後門。
當攻擊者傳送特殊格式的數據信息至該通訊連線埠時,蠕蟲就會允許任意檔案下載至 %Windir% 資料夾。這個檔案會儲存成 %Windir%\iuplda<x>.exe,其中 <x> 是隨機字元串的字元。
6. 藉由將自身安裝到名稱含有 shar 的資料夾中,以試圖散布至檔案共享網路,例如 Kazaa 及 iMesh。 蠕蟲會使用下列檔名:
o ACDSee 9.exe
o Adobe Photoshop 9 full.exe
o Ahead Nero 7.exe
o Matrix 3 Revolution English Subtitles.exe
o Microsoft Office 2003 Crack, Working!.exe
o Microsoft Office XP working Crack, Keygen.exe
o Microsoft Windows XP, WinXP Crack, working Keygen.exe
o Opera 8 New!.exe
o Porno Screensaver.scr
o Porno pics arhive, xxx.exe
o Porno, sex, oral, anal cool, awesome!!.exe
o Serials.txt.exe
o WinAmp 5 Pro Keygen Crack Update.exe
o WinAmp 6 New!.exe
o Windown Longhorn Beta Leak.exe
o Windows Sourcecode update.doc.exe
o XXX hardcore images.exe
7. 搜尋本機固定式磁碟驅動器,並試圖感染擴展名為 EXE 的檔案。 其感染程式具有多種形態,而且會將蠕蟲附加至檔案中。
8. 搜尋本機固定式磁碟驅動器上具有下列擴展名的檔案,然後從這些檔案收集電子郵件地址:
o adb
o asp
o cfg
o cgi
o dbx
o dhtm
o eml
o htm
o jsp
o mbx
o mdx
o mht
o mmf
o msg
o nch
o ods
o oft
o php
o pl
o sht
o shtm
o stm
o tbb
o txt
o uin
o wab
o wsh
o xls
o xml
9. 使用自身的 SMTP 引擎將自己傳送至所收集的電子郵件地址。此蠕蟲含有自己的 MIME 編碼例程,能在記憶體中撰寫電子郵件。
受感染的電子郵件具有下列特徵:
寄件者:(可能是以下其中之一)
o management@<收件者域名>
o administration@<收件者域名>
o staff@<收件者域名>
o noreply@<收件者域名>
o support@<收件者域名>
主旨:以下其中之一:
+ Account notify
+ E-mail account disabling warning.
+ E-mail account security warning.
+ E-mail technical support message.
+ E-mail technical support warning.
+ E-mail warning
+ Email account utilization warning.
+ Email report
+ Encrypted document
+ Fax Message Received
+ Forum notify
+ Hidden message
+ Important notify
+ Important notify about your e-mail account.
+ Incoming message
+ Notify about using the e-mail account.
+ Notify about your e-mail account utilization.
+ Notify from e-mail technical support.
+ Protected message
+ RE: Protected message
+ RE: Text message
+ Re: Document
+ Re: Hello
+ Re: Hi
+ Re: Incoming Fax
+ Re: Incoming Message
+ Re: Msg reply
+ Re: Thank you!
+ Re: Thanks :)
+ Re: Yahoo!
+ Request response
+ Site changes
內文:(以下其中一行)
+ Dear user of <domain>,
+ Dear user of <domain> gateway e-mail server gateway,
+ Dear user of e-mail server "<domain>",
+ Hello user of <domain> e-mail server,
+ Dear user of "<domain>" mailing system,
+ Dear user, the management of <domain> mailing system wants to let you know that,
後面接著以下其中一段:
# Your e-mail account has been temporary disabled because of unauthorized access.
# Our main mailing server will be temporary unavaible for next two days,
to continue receiving mail in these days you have to configure our free
auto-forwarding service.
# Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.
# We warn you about some attacks on your e-mail account. Your computer may
contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.
# Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your Computer Software.
# Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.
後面接著以下其中一行:
# For more information see the attached file.
# Further details can be obtained from attached file.
# Advanced details can be found in attached file.
# For details see the attach.
# For details see the attached file.
# For further details see the attach.
# Please, read the attach for further details.
# Pay attention on attached file.Read the attach.
# Your file is attached.
# More info in attach
# See attach.
# Follow the wabbit.
# Find the white rabbit.
# Please, have a look at the attached file.
# See the attached file for details.
# Message is in attach
# Here is the file.
後面接著:
# The <domain> team http:/ /www.<;domain>
後面接著以下其中一行:
# The Management,
# Sincerely,
# Best wishes,
# Have a good day,
# Cheers,
# Kind regards,
若附屬檔案為 zip 或 rar 檔案,則信息會包含以下其中一行:
# If the attachment is a zip or rar file, the message will include one of the following lines:
# For security reasons attached file is password protected. The password is <image of password>
# For security purposes the attached file is password protected. Password -- <image of password>
# Note: Use password <image of password> to open archive.
# Attached file is protected with the password for security reasons. Password is <image of password>
# In order to read the attach you have to use the following password: <image of password>
# Archive password: <image of password>
# Password - <image of password>
# Password: <image of password>
注意:
# <域名> 是電子郵件地址的域名部分。
# <密碼> 是蠕蟲用來加密附加 .zip 或 .rar檔案的隨機數字。 這些檔案會分別被偵測為 W32.Beagle@mm!zip 和 W32.Beagle@mm!rar。
附屬檔案: 下列其中一個名稱,擴展名為 .pif、.zip 或 .rar:
+ Attach
+ Details
+ Document
+ Encrypted
+ Gift
+ Info
+ Information
+ Message
+ MoreInfo
+ Readme
+ Text
+ TextDocument
+ details
+ first_part
+ pub_document
+ text_document
若附屬檔案為 zip 或 rar 檔案,則它會包含一個隨機命名的 .exe 檔案,並使用上述密碼進行密碼保護。
若蠕蟲為 .exe 檔案,則它的執行檔案會具有下列圖示:
10. 蠕蟲不會將電子郵件信息傳送給含有下列字元串的任何電子郵件地址:
+ @avp.
+ @foo
+ @hotmail.com
+ @iana
+ @messagelab
+ @microsoft
+ @msn
+ abuse
+ admin
+ anyone@
+ bsd
+ bugs@
+ cafee
+ certific
+ contract@
+ f-secur
+ feste
+ free-av
+ gold-certs@
+ google
+ help@
+ icrosoft
+ info@
+ kasp
+ linux
+ listserv
+ local
+ nobody@
+ noone@
+ noreply
+ ntivi
+ panda
+ pgp
+ postmaster@
+ rating@
+ root@
+ samples
+ sopho
+ spam
+ support
+ unix
+ winrar
+ winzip
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
使用 W32.Beagle@mm 防毒工具進行移除
「賽門鐵克安全機制應變中心」已經開發出一個防毒工具,可移除 W32.Beagle.M@mm 的感染。請先使用此防毒工具,因為它是移除這類威脅最簡易的方法。
手動移除
下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。
1. 關閉「系統還原」(Windows Me/XP)。
2. 將計算機重新啟動在安全模式或是 VGA 模式。
3. 恢復對註冊表所做的變更。
4. 更新病毒定義檔案。
5. 執行完整的系統掃描,並修復所有偵測到的 W32.Beagle.M@mm 檔案。
注意: W32.Beagle.M@mm 會以上述方式在受感染的系統上建立本身的副本。 但是,它也會試圖感染 EXE 檔案。 因此,您應該將您的 Symantec AntiVirus 產品架構成,先試圖修復所有找到的受感染檔案,然後在該項動作無法成功時,才隔離受感染的檔案。
如需關於這些步驟的詳細信息,請閱讀下列指示。
1. 禁用系統還原(Windows Me/XP)
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore 資料夾中的威脅,即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
* 如何禁用或啟用 Windows XP 系統還原
* 如何禁用或啟用 Windows Me 系統還原
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設定。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案,文章 ID:CH263455。
2. 將計算機重新啟動在安全模式或是 VGA 模式
關閉計算機及電源。至少等待 30 秒後,再以安全模式或 VGA 模式重新啟動計算機。
* 若為 Windows 95、98、Me、2000 或 XP 的使用者,請將計算機重新啟動至「安全」模式。如需執行此程式的指示,請參閱如何啟動計算機至安全模式檔案。
* 若為 Windows NT 4 的使用者,請將計算機重新啟動至 VGA 模式。
3. 恢復對註冊表所做的變更
警告:對系統註冊表進行任何修改之前,賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯,嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示,請閱讀如何備份 Windows 的註冊表檔案。
1. 按下“開始“,然後按下“執行“。(畫面上便會出現執行對話框)。
2. 輸入 regedit
然後按下"確定"。(註冊表編輯器會開啟)。
3. 跳到這個鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4. 刪除右邊窗格中的值:
"winupd.exe"="%System%\winupd.exe"
5. 結束並離開註冊表編輯器。
6. 重新啟動計算機進入正常模式。如需其它指示,請閱讀如何啟動計算機至安全模式檔案中,關於回到正常模式一節。
4. 更新病毒定義
賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
o 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
o 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
5. 掃描並修復受感染的檔案
1. 啟動您的賽門鐵克防毒程式,確定已架構為掃描所有檔案。
+ Norton AntiVirus 消費者產品:請閱讀 如何設定 Norton AntiVirus 以掃描所有檔案。
+ 賽門鐵克企業版防毒產品:請閱讀 如何確認 Symantec Corporate 防毒產品已設定為掃描所有檔案 文章。
2. 執行完整系統掃描。
3. 如果偵測到任何受 W32.Beagle.M@mm 感染的檔案,請按下“修復“。 隔離所有無法修復的檔案。
描述者: Heather Shannon