W32.Erkez.D@mm

簡介

W32.Erkez.D@mm

威脅評估

廣度
* 廣度級別： Low
* 感染數量： More than 1000
* 站點數量： More than 10
* 地理位置分布： Low
* 威脅抑制： Easy
* 清除： Moderate
損壞
* 損壞級別： Medium
* 有效負載： Opens a Back Door
* 大規模傳送電子郵件： Mass-mailing
* 降低性能： Terminates processes
* 危及安全設定： Terminates security related processes.
分發
* 分發級別： High
* 電子郵件的主題： Varies
* 附屬檔案名稱： Varies with a .bat, .cmd, .com, .pif, or .zip extension.
* 附屬檔案大小： 11,745 bytes
* 連線埠： TCP port 8181
當Once W32.Erkez.D@mm 執行時,它會執行下列動作:
1. 創建下列檔:
* %System%\Norton update.exe
* C:\s.cm (a Log File)
注意：%System% 是一個變數。蠕蟲會找到 System 資料夾，並將自身複製到其中。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).
2. 將自己複製成多個以下列名稱為名的檔:
%System%\【八個隨機字元】.dll
3. 試圖在任何包含字元「shar」的資料夾中建立本身的副本。檔將會有下列名稱::
* winamp 5.7 new!.exe
* ICQ 2005a new!.exe
4. 建立名為下列mutex。此 Mutex 只允許執行一個病蟲實例。
Wxp4
5. 將值：
"Wxp4" = "%System%\Norton Update.exe"
添加到註冊表鍵：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
使該蠕蟲在啟動 Windows 時啟動。
6. 在以下登錄子鍵中建立多個儲存病蟲訊息的項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
7. 顯示下列錯誤信息:
Title: CRC: 04F7Bh
Message: Error in packed file!
8. 終止下列名稱的程式:
* reged
* msconfig
* task
9. 試圖在線上至 microsoft.com 域
10. 在 TCP 埠號8181上開啟後門並等待遠程攻擊者的指令
11. 在資料夾中依序搜尋包含以下字元串的 .exe 檔案:
* syman
* viru
* trend
* secur
* panda
* cafee
* sopho
* kasper
12. 試圖中止任何在以上資料夾中所找到的執行程式以降低安全設定
13. 搜尋電子郵件地址並儲存多個版本至以下檔:
%System%\【隨機名稱】.dll
14. 在有下列擴展名的電子郵件檔中搜尋電子郵件地址::
* htm
* wab
* txt
* dbx
* tbb
* asp
* php
* sht
* adb
* mbx
* eml
* pmr
* fpt
* inb
病蟲將不會將本身寄至包含下列字元的電子郵件地址:
* yaho
* google
* win
* use
* info
* help
* admi
* ebm
* micro
* msn
* hotm
* suppor
* syman
* viru
* trend
* secur
* panda
* cafee
* sopho
* kasper
15. 使用自身的 SMTP 引擎傳送電子郵件到任何找到的地址。此電子郵件可能以多種語言版本出現並有以下特徵:
寄件者: (偽裝)
主旨:(以下之一)
* Merry Christmas!
* boldog karacsony...
* Feliz Navidad!
* ecard.ru
* Christmas Kort!
* Christmas Vykort!
* Christmas Postkort!
* Christmas postikorti!
* Christmas - Kartki!
* Weihnachten card.
* Prettige Kerstdagen!
* Christmas pohlednice
* Joyeux Noel!
* Buon Natale!
內文:(以下之一)
* Happy HollyDays!
:) 【Sender】
* Kellemes Unnepeket!
:) 【Sender】
* Feliz Navidad!
:) 【Sender】
* :) 【Sender】
* Glaedelig Jul!
:) 【Sender】
* God Jul!
:) 【Sender】
* God Jul!
:) 【Sender】
* Iloista Joulua!
:) 【Sender】
* Naulieji Metai!
:) 【Sender】
* Wesolych Swiat!
:) 【Sender】
* Fröhliche Weihnachten!
:) 【Sender】
* Prettige Kerstdagen!
:) 【Sender】
* Veselé Vánoce!
:) 【Sender】
* Joyeux Noel!
:) 【Sender】
* Buon Natale!
:) 【Sender】
附屬檔案:(包含以下擴展名之ㄧ的隨機檔名)
* .bat
* .cmd
* .com
* .pif
* .zip
以下是一個此病蟲的電子郵件樣例:

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：
* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

手動防毒

以下指導適用於所有當前和最新的賽門鐵克防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 禁用系統還原 (Windows Me/XP)。
2. 更新病毒定義。
3. 將計算機重啟到安全模式或者 VGA 模式。
4. 運行完整的系統掃描，並刪除所有檢測為 W32.Sober.F@mm 的檔案。
5. 恢復添加到註冊表的值。
有關每個步驟的詳細信息，請閱讀以下指導。
1. 禁用系統還原（Windows Me/XP）
如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。
此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：
* 如何禁用或啟用 Windows XP 系統還原
* 如何禁用或啟用 Windows Me 系統還原
注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設定。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。
2. 更新病毒定義
賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：
* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。
現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。
3. 將計算機重啟到安全模式或者 VGA 模式
請關閉計算機，等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式
* Windows 95/98/Me/2000/XP 用戶：將計算機重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
* Windows NT 4 用戶：將計算機重啟到 VGA 模式。
4. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案被 W32.Sober.F@mm 感染，請單擊“刪除”。
5. 恢復添加到註冊表的值
注意：對系統註冊表進行任何修改之前，賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯，嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示，請閱讀「如何備份 Windows 註冊表」檔案。
1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）
2. 鍵入 regedit
然後單擊“確定”。（將打開註冊表編輯器。）
3. 導航至以下鍵：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中，刪除值：
"Wxp4" = "%System%\Norton Update.exe"
5. 定位到下列鍵然後將其與其子鍵刪除：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
6. 退出註冊表編輯器。
7. 以標準模式重新啟動計算機。有關指導，請參閱文檔：如何以安全模式啟動計算機中有關返回標準模式的部分。
描述者： John Canavan