簡介
發現: 2002 年 4 月 17 日
更新: 2007 年 2 月 13 日 11:42:44 AM
別名: Win32.Elkern.c 【AVP】, W32/Elkern.C 【Sophos】, Win32/WQK.C 【CA】, PE_ELKERN.D 【Trend】, W32/Elkern.cav.c 【McAfee】
類型: Virus
感染長度: 4,926 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows XP
病毒特徵
這是 W32.ElKern.3326 病毒的新變種。該變種由 W32.Klez.H@mm 放置。
Symantec 提供了消除 W32.Klez 和 W32.ElKern 所有已知變種所造成的感染的工具。單擊這裡以獲得該工具。這是殺除這些威脅的最簡便方法,應首先嘗試此方法。
注意
病毒定義和 2002 年 9 月 10 日的 W32.Klez 防毒工具(也可消除 ElKern 感染)具有接種疫苗功能。如果受感染的檔案得到了 Symantec AntiVirus 產品或 W32.Klez 防毒工具的修復,這些檔案不會被 W32.ElKern.4926 再次感染。
該變種的不同之處包括:
* 防止感染自解壓 .rar 和 .zip 歸檔檔案的識別算法(首次出現在 W32.ElKern.3587)
* 病毒作者嘗試使用改進的加密算法,使檢測更困難
* 排除破壞性的有效荷載
有關 W32.Klez.gen@mm 檢測的說明:如果感染了 W32.Klez 變種,通常會檢測到 W32.Klez.gen@mm。感染了 W32.Klez.gen@mm 的計算機大多也容易感染 W32.Klez.E@mm 或 W32.Klez.H@mm。如果您的計算機被檢測為感染了 W32.Klez.gen@mm,請下載並運行該工具。在多數情況下,該工具可以消除此類感染。
防護
* 病毒定義(每周 LiveUpdate™) 2002 年 4 月 17 日
* 病毒定義(智慧型更新程式) 2002 年 4 月 17 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: 50 - 999
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Low
分發
* 分發級別: High
W32.ElKern.4926 與 W32.Klez.H@mm 蠕蟲相關聯。該蠕蟲在 C:\Program Files 資料夾中使用隨機檔案名稱創建純粹的病毒體並激活它。然後,該病毒會自行運行。
像 W32.ElKern.3326 和 W32.ElKern.3587 一樣,W32.ElKern.4926 還是空洞傳染源,它會感染在資料夾或子資料夾中隨機選擇的可移植的可執行(PE) 檔案。它在當前資料夾中開始搜尋要感染的檔案。然後通過驅動器號搜尋,從任意字母開始搜尋到 Z。它還感染本地網路上的開放共享中的檔案。有些受感染檔案的大小並不改變。
檔案搜尋會跳過名稱中包含“rary Inter”或“tem32\dllcac”的資料夾。此外,名稱以下列任意字母序列開頭的檔案也會被跳過:_avp、aler、amon、anti、 nod3、npss、nres、nsch、n32s、avwi、scan、f-st、f-pr、avp 或 nav。
如果檔案是 PE GUI 或不是 .dll 的控制台應用程式、不包含文本“irus”、不受 Windows 98/Me/2000/XP 中的系統檔案檢查程式的保護、既不是 WinZip 也不是 RAR 自解壓檔案,W32.ElKern.4926 就認為該檔案是可感染的。
W32.ElKern.4926 包含一個錯誤,該錯誤會導致檔案重複感染。這可造成受感染的檔案無法修復。
而且,該病毒變種會嘗試將其代碼插入所有正在運行的進程中。這會造成檔案在全面系統掃描未發現病毒後再次被感染。
變種 W32.ElKern.3326 和 W32.ElKern.3587 會放置 Wqk.dll 或 Wqk.exe 並在下列註冊表鍵中添加引用它們的值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrrentVersion\Run
與這兩個變種不同的是,W32.ElKern.4926 不會放置 Wqk.dll 或 Wqk.exe,並且不修改任何註冊表鍵。
如果檢測到 W32.ElKern.dam,說明存在 W32.ElKern.4926 感染,在這種情況下,檔案會被病毒 W32.Elkern.4926 破壞,或者檔案中包含病毒體,但病毒代碼不可能得到主機程式的控制權。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
使用防毒工具防毒
Symantec 提供了消除 W32.Klez 和 W32.ElKern 所有已知變種所造成的感染的工具。這是推薦的方法。單擊這裡可以獲得該工具。
有關 W32.Klez.gen@mm 檢測的說明:如果感染了 W32.Klez 變種,通常會檢測到 W32.Klez.gen@mm。感染了 W32.Klez.gen@mm 的計算機大多也容易感染 W32.Klez.E@mm 或 W32.Klez.H@mm。如果您的計算機被檢測為感染了 W32.Klez.gen@mm,請下載並運行該工具。在多數情況下,該工具可以消除此類感染。
手動防毒
注意:如果計算機只感染了 W32.ElKern.4926,可以使用此過程。但如果計算機還受到 W32.Klez.H@mm 的感染,則此過程不起作用。
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 關閉計算機,關掉電源,然後等待 30 秒。
3. 以安全模式重新啟動計算機。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機。
4. 啟動 Norton AntiVirus (NAV),並確保 NAV 配置為掃描所有檔案。
* Norton AntiVirus 消費者產品:請閱讀「如何設定 Norton AntiVirus 以掃描所有檔案」文章。
* 賽門鐵克企業版防毒產品:請閱讀「如何確認 Symantec Corporate AntiVirus 產品已設定為掃瞄所有檔案」文章。
5. 如果確定任何檔案被 W32.ElKern.4926 感染,請單擊“修復”。
6. 重新啟動計算機。
7. 重複步驟 3-5 直至報告無受感染檔案。