W32.HLLW.Fizzer@mm

病毒簡介

發現： 2003 年 5 月 8 日
更新： 2007 年 2 月 13 日 12:06:07 PM
別名： W32/Fizzer@MM 【McAfee】, Win32.Fizzer 【CA】, W32/Fizzer-A 【Sophos】, WORM_FIZZER.A 【Trend】, Fizzer 【F-Secure】, Win32/Fizzer.A@mm 【RAV】, I-Worm.Fizzer 【KAV】
類型: Worm
感染長度： 241,664 bytes
受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
W32.HLLW.Fizzer@mm
* 群發郵件蠕蟲，它將其自身傳送給 Windows 地址簿中的所有聯繫人。
* 包含一個使用 mIRC 與遠程攻擊者通信的後門。
* 包含鍵記錄器，並嘗試通過 KaZaA 檔案共享網路進行傳播。
* 試圖中斷各種處於活動狀態的防病毒程式。
注意：日期為 5/9/2003 的病毒定義已在 5/12/2003 作為 LiveUpdate 定義發布，配合這次升級。
賽門鐵克安全回響已提供了針對 W32.HLLW.Fizzer@mm 的防毒工具。請單擊 這裡 獲取該工具。
防護
* 病毒定義（每周 LiveUpdate™） 2003 年 5 月 9 日
* 病毒定義（智慧型更新程式） 2003 年 5 月 9 日
威脅評估
廣度
* 廣度級別： Low
* 感染數量： More than 1000
* 站點數量： More than 10
* 地理位置分布： Medium
* 威脅抑制： Moderate
* 清除： Moderate
損壞
* 損壞級別： Medium
* 有效負載： Various backdoor capabilities
* 大規模傳送電子郵件： Sends itself to all contacts in the Windows Address Book.
* 危及安全設定： Attempts to terminate processes of various antivirus programs.
分發
* 分發級別： High
* 電子郵件的主題： varies
* 附屬檔案名稱： varies with .com, .exe, .pif, or .scr file extension
* 附屬檔案大小： varies
* 連線埠： 81, 2018, 2019, 2020, 2021
* 共享驅動器： Attempts to spread via the KaZaA file-sharing network.
W32.HLLW.Fizzer@mm 運行時會執行下列操作：
將其自身複製為
o %windir%\iservc.exe
o %windir%\initbak.dat
注意：%Windir% 是一個變數。蠕蟲會找到 Windows 安裝資料夾（默認為 C:\Windows 或 C:\Winnt），然後將自身複製到其中。
1. 創建下列檔案：
* %windir%\ProgOp.exe (15,360 位元組)
* %windir%\iservc.dll (7,680 位元組), 這是該蠕蟲的鍵記錄器組件
* %windir%\data1-2.cab, 它包含該蠕蟲在受感染計算機上找到的加密電子郵件地址
* %windir%\iservc.dat
* %windir%\Uninstall.pky
* %windir%\upd.bin
注意：這些檔案本身不是病毒。因此，Symantec 防病毒產品不檢測它們。如果感染了該蠕蟲，應當手動刪除它們。
2. 將值
"SystemInit"="%windir%\iservc.exe"
添加到註冊表鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
一般該蠕蟲在重啟 Windows 時運行。
3. 啟動後，將 iservc.exe 作為一個進程啟動。
4. 將註冊表鍵
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command
的默認值修改為
@="%Windir%\ProgOp.exe 0 7 '%windir%\notepad.exe %1''%windir%\initbak.dat''iservc.exe'
5. 試圖結束名稱中包含以下字元串的所有進程：
* NAV
* SCAN
* AVP
* TASKM
* VIRUS
* F-PROT
* VSHW
* ANTIV
* VSS
* NMAIN
6. 創建 mutex SparkyMutex，只允許該蠕蟲的一個實例在系統中運行。
7. 試圖使用該蠕蟲攜帶的各種不同用戶名連線許多 IRC 伺服器，然後等候黑客的命令。以下是該蠕蟲試圖連線的部分 IRC 伺服器：
* irc.awesomechat.net
* irc.blueshadownet.org
* irc.chatlands.org
* irc.darkmyst.org
* irc.hemmet.chalmers.se
* irc.exodusirc.net
* irc.mirc.gr
8. 將所有鍵擊記錄到一個加密檔案 %windir%\iservc.klg。
9. 將其自身以隨機檔案名稱複製到 KaZaA 檔案下載目錄中，侍機通過檔案共享網路進行傳播。
10. 以一個隨機創建的名字連線到一個 AOL Instant Messenger (AIM) 聊天室，並在那裡等待駭客的指令。
11. 在連線埠 81 上作為 HTTP 伺服器運行。
12. 使用連線埠 2018、2019、2020、2021 獲得其他後門功能。
13. 試圖連線 Geocities 站點以獲得更新。此時，這些站點不可用。
14. 從 Windows 地址簿、Cookie 檔案、Internet 臨時檔案和當前用戶的個人資料夾檢索電子郵件地址。該蠕蟲將其自身傳送到它所找到的電子郵件地址。它會偽裝發件人的姓名和電子郵件。
注意：更多關於電子郵件偽裝的信息，請參閱文檔 收到的郵件稱你發出一個病毒，但是使用最新的病毒定義掃描所有檔案沒有偵測到任何病毒（英文）。
該電子郵件具有以下特徵，
主題：從該蠕蟲攜帶的列表隨機選取主題行。可能是下列之一：
* I thought this was interesting...
* rather psychedelic...
* found this on the net, you might like it...
* discothèque
* imbrue
* Damn it feels good to be Gangsta.
* The way I feel - Remy Shand
* Paradigm Shift
* WASSUP!
* Know thyself
* Hell
* I love you
* Please discard if you don't like or agree with our present leadership...
* little popup remover
* B cannot remember
* Yo, WASSUP, B?
* an interesting program...
* You might not appreciate this...
* I think you might find this amusing...
* LOL
* check this out... hehehe
* question...
* see you tomorrow.
* how are you?
* you need to lose weight.
* why?
* kind of simple, but fun nonetheless.
* check it out.
郵件：從該蠕蟲攜帶的列表隨機選取郵件正文。可能是下列之一：
I sent this program (Sparky) from anonymous places on the net.
The way to gain a good reputation is to endeavor to be what you desire to appear.
There is only one good, knowledge, and one evil, ignorance.
Watchin' the game, having a bud.
Did you ever stop to think that viruses are good for the economy? Maybe the primary creators of the world's worst viruses are the companies that make the Anti-Virus software.
Today is a good day to die...
so, how are you?
the attachment is only for you to look at
you must not show this to anyone...
delete this as soon as you look at it...
Let me know what you think of this...
If you don't like it, just delete it.
thought I'd let you know
you don't have to if you don't want to.
附屬檔案：隨機生成附屬檔案名稱。具有以下擴展名之一
.exe
.pif
.com
.scr
Symantec Netprowler
賽門鐵克為 NetProwler 3.5.1發布了偵測 W32.HLLW.Fizzer@mm 的 Security Update 25。按此了解更多信息。
Symantec Gateway Security
賽門鐵克通過 LiveUpdate 發布了可以探測 W32.HLLW.Fizzer@mm 的 Gateway Security 更新。Symantec Gateway Securit 產品用戶應該運行 LiveUpdate 以防範該威脅。
Symantec Intruder Alert 3.6
賽門鐵克發布了可以探測 W32.HLLW.Fizzer@mm 的 Intruder Alert 3.6 策略。如需更多信息請單擊這裡。同時發布的還有用於 NetProwler 3.5xSU 25 的 Intruder Alert 3.5/3.6 Integration 策略。請單擊這裡了解更多信息。
Symantec Manhunt
為了將此威脅檢測為 W32.HLLW.Fizzer@mm，賽門鐵克建議 Symantec ManHunt 用戶開啟 HYBRID MODE 功能並使用下列定製的規則：
*******************start file********************
alert tcp any any -> any any (msg:"W32.HLLW.Fizzer@mm";
content:"M|00|i|00|c|00|r|00|o|00|s|00|o|00|f|00|t|00|(|00|R|00|)|00| |00|
W|00|i|00|n|00|d|00|o|00|w|00|s|00| |00|(|00|R|00|)|00| |00|
S|00|y|00|s|00|t|00|e|00|m|00| |00|I|00|n|00|i|00|t";
nocase; content:"l|00|s|00|e|00|r|00|v|00|c|00|.|00|e|00|x|00|e"; nocase;)
alert udp any any -> any any (msg:"W32.HLLW.Fizzer@mm";
content:"M|00|i|00|c|00|r|00|o|00|s|00|o|00|f|00|t|00|(|00|R|00|)|00| |00|
W|00|i|00|n|00|d|00|o|00|w|00|s|00| |00|(|00|R|00|)|00| |00|
S|00|y|00|s|00|t|00|e|00|m|00| |00|I|00|n|00|i|00|t";
nocase; content:"l|00|s|00|e|00|r|00|v|00|c|00|.|00|e|00|x|00|e"; nocase;)
alert tcp any any -> any 25 (msg:"W32.HLLW.Fizzer@mm";
content:"AHMAZQByAHYAYwAuAGUAeABl";)
alert tcp any any -> any 25 (msg:"W32.HLLW.Fizzer@mm";
content:"AGwAcwBlAHIAdgBjAC4AZQB4";)
alert tcp any any -> any 25 (msg:"W32.HLLW.Fizzer@mm";
content:"AbABzAGUAcgB2AGMALgBlAHg";)
*************EOF*********************
將在蠕蟲通過 Kazaa 和 SMTP 傳播時被激活。更多關於如何創建定製簽名的信息請參閱 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：
* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。
使用 W32.HLLW.Fizzer@mm 防毒工具
這是最簡單快速的方法。單擊這裡獲取防毒工具。
手動刪除
作為防毒工具的替代，您也可以依照下列說明手動刪除。
以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 更新病毒定義。
2. 運行完整的系統掃描，並刪除所有檢測為 W32.HLLW.Fizzer@mm 的檔案。
3. 刪除添加到註冊表的值。
有關每個步驟的詳細信息，請閱讀以下指導。
1. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：
o 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。如果未出現重大的病毒爆發情況，這些病毒定義會在 LiveUpdate 伺服器上每周發布一次（一般為星期三）。要確定是否可通過 LiveUpdate 獲得用於該威脅的定義，請參考病毒定義 (LiveUpdate)。
o 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義會在美國工作日（周一至周五）發布。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可通過智慧型更新程式獲得用於該威脅的定義，請參考病毒定義（智慧型更新程式）。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義，請單擊這裡。
2. 將計算機重啟到安全模式或者終止特洛伊木馬進程
Windows 95/98/Me
將計算機重啟到安全模式。所有 Windows 32-bit 作業系統，除了Windows NT，可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
Windows NT/2000/XP
要終止特洛伊木馬進程：
1. 按一次 Ctrl+Alt+Del。
2. 單擊“任務管理器”。
3. 單擊“進程”選項卡。
4. d. 雙擊“映像名稱”列標題，按字母順序對進程排序。
5. 滾動列表並查找 iservc.exe。
6. 如果找到該檔案，則單擊此檔案，然後單擊“結束進程”。
7. 單擊“任務管理器”。
3. 從註冊表刪除值
警告：Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表。
1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）
2. 鍵入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）
3. 導航至以下鍵：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中，刪除值：
"SystemInit"="%windir%\iservc.exe"
5. 導航至以下鍵：
HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command
6. 在右窗格中，將默認值修改為：
notepad.exe %1
7. 退出註冊表編輯器。
4. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。
o 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果有任何檔案被檢測為感染了 W32.HLLW.Fizzer@mm，請單擊“刪除”。
4. 使用 Windows 資源管理器，找出並刪除下列檔案：
o %Windir%\ProgOp.exe
o %Windir%\iservc.dll
o %Windir%\data1-2.cab
o %Windir%\iservc.dat
o %Windir%\Uninstall.pky.
o %Windir%\Upd.bin
注意: %Windir% 是個變數。蠕蟲會找到 Windows 的安裝目錄（默認位置為 C:\Windows 或 C:\Winnt） 並將自己複製到其中。
描述者： Yana Liu