介紹
發現: 2002 年 8 月 27 日更新: 2007 年 2 月 13 日 11:40:50 AM
類型: Worm
感染長度: 39,310 bytes
受感染的系統: Windows 2000, Windows 98, Windows Me, Windows NT, Windows XP
W32.HLLW.Kilonce 是一種通過開放的共享資源傳播的蠕蟲。它基於 W32.Nimda 蠕蟲,但不具有傳送電子郵件的能力。它試圖關閉包含字元“KV”或“AV”或名為“Load.exe”的所有進程,並隨後刪除相關的檔案。
以下信息是為網路管理員或 IT 專家提供的:
* 如果 Guest 帳戶意外地出現在 Administrators 組中,應將其刪除。
* 如果不需要 Guest帳戶,應將其禁用。
* 應刪除不需要的共享。
* 如果遠程計算機上的 \Windows\Rundll32.exe 檔案已重命名為Run32.exe,應將其重命名回 Rundll32.exe。
警告:以下信息僅供參考,Symantec 安全回響中心不推薦也不對其提供支持:
可以通過該蠕蟲自身將其部分殺除。通過運行 Killonce.exe -u,該蠕蟲會還原已被其改變的註冊表鍵。
防護
* 病毒定義(每周 LiveUpdate™) 2002 年 8 月 28 日
* 病毒定義(智慧型更新程式) 2002 年 8 月 28 日
威脅評估
廣度
* 廣度級別: Low* 感染數量: 0 - 49
* 站點數量: 0 - 2
* 地理位置分布: Low
* 威脅抑制: Easy
* 清除: Difficult
損壞
* 損壞級別: High* 有效負載觸發器: 13th December in any year
* 刪除檔案: All deletable files and subdirectories on the C: drive will be deleted when the payload activates.
* 危及安全設定: Guests might be granted Administrator access; unrestricted shares might be created for drives C: - K:
分發
* 分發級別: Low* 共享驅動器: Copies itself as Rundll32.exe or Regedit.exe across shared drives.
該蠕蟲首次運行時,會檢查當前計算機的名稱。如果名稱不為“YWB”,將執行下列操作:
創建一個執行緒,該執行緒枚舉所有進程,並關閉名稱中包含“KV”或“AV”或名為“LOAD.EXE”的所有進程。關閉進程後,刪除相關的檔案。
將自身複製為
* C:\%windir%\Killonce.exe
* C:\Recycled\Killonce.exe
注意:%windir% 是一個變數。蠕蟲會找到 Windows 安裝資料夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
接下來,將改變幾個註冊表鍵:
* 在註冊表鍵中
HKEY_CLASSES_ROOT\exefile\shell\open\command中,將“(默認)”的“數值數據”更改為%windir%\killonce.exe "%1 %*
* 在註冊表鍵
HKEY_CLASSES_ROOT\txtfile\shell\open\command
中,將“(默認)”的“數值數據”更改為
c:\recycled\killonce.exe %windir%\NotePad %1
該值的原始內容將丟失。
* 在註冊表鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,添加值KillOnce %windir%\killonce.exe
這會導致蠕蟲在每次啟動Windows 時都運行。
將 Guest 帳戶添加到 Windows NT/2000/XP 下的 Administrators 組中。
打開 Windows 95/98/Me 中從 C 到 K 的所有硬碟驅動器,將其不受限制地共享。
然後,蠕蟲將枚舉網路資源。如果它在遠程計算機上的 Windows 資料夾下找到 Rundll32.exe 檔案,會將其重命名為 Run32.exe,並用自身的副本替換原始檔案。如果它在遠程計算機上找到 Regedit.exe,會將其重命名為 Regedit.exe.sys,然後用自身的副本替換原始檔案。
該蠕蟲將重寫擴展名為 .eml 或 .nws 的所有檔案。被重寫的檔案將包含該蠕蟲的 base64 編碼版本。
如果該蠕蟲找到任何擴展名為 .doc 的檔案,會將其自身複製為 riched20.dll。
如果該蠕蟲找到任何擴展名為 .htm 的檔案,會將其自身複製為 Shdocvw.dll
在每年的 12 月 13 日,該蠕蟲會用代碼重寫 Autoexec.bat 以刪除 C 驅動器中的所有檔案和子資料夾
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多操作系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
注意:以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 更新病毒定義,然後以安全模式重新啟動計算機。
2. 將 Regedit.exe 複製為 Regedit.com。
3. 使用 Regedit.com,撤消對註冊表所做的更改。
警告:如果在遠程計算機上執行此操作,而另一台受感染計算機已通過網路感染了該遠程計算機,則必須首先將 Regedit.exe.sys 重命名回Regedit.exe。
4. 運行完整的系統掃描,並刪除被檢測為 W32.HLLW.Kilonce 的所有檔案。從乾淨備份中還原需要的所有已被重寫的檔案。
有關如何完成此操作的詳細信息,請參閱下列指導。
更新病毒定義並以安全模式重新啟動:
1. 獲得最新的病毒定義。可通過兩種方法獲得:
* 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。這些病毒定義經過 Symantec 安全回響中心的全面質量監控檢測,如果未遇重大病毒爆發情況,會每周在 LiveUpdate 伺服器上發布一次(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義 (LiveUpdate) 行。
* 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義已經過 Symantec 安全回響中心的全面質量監控檢測,會在工作日(周一至周五,美國時間)發布。必須從 Symantec 安全回響中心網站下載病毒定義,並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)行。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義,請單擊這裡。
2. 以安全模式重新啟動計算機。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機。
將 Regedit.exe複製為 Regedit.com:
由於蠕蟲修改了註冊表,使您不能運行 .exe 檔案,所以必須首先生成註冊表編輯器程式檔案的副本,並將其擴展名改成 .com,然後再運行該檔案。
警告:如果在遠程計算機上執行此操作,而而另一台受感染計算機已通過網路感染了該遠程計算機,則必須首先將 Regedit.exe.sys 重命名回 Regedit.exe。
1. 根據您運行的作業系統,執行下面相應的操作:
o Windows 95/98 用戶:單擊“開始”,指向“程式”,然後單擊“MS-DOS 方式”。這將打開 DOS 視窗,提示符為 C:\WINDOWS\。轉至此部分的步驟 2。
o Windows Me 用戶:單擊“開始”,指向“程式”,再指向“附屬檔案”,然後單擊“MS-DOS 方式”。這將打開 DOS 視窗,提示符為 C:\WINDOWS\。轉至此部分的步驟 2。
o Windows NT/2000 用戶:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入下列命令,然後按Enter鍵:
command
DOS 視窗打開。
c. 鍵入下列命令,然後按 Enter 鍵:
cd \winnt
o d. 轉至此部分的步驟 2。 Windows XP:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入下列命令,然後按 Enter 鍵:
command
DOS 視窗打開。
c. 鍵入下列命令,每鍵入完一行即按 Enter 鍵:
cd\
cd \windows
d. 繼續執行此部分的步驟 2。
2. 鍵入下列命令,然後按 Enter 鍵:
copy regedit.exe regedit.com
3. 鍵入下列命令,然後按 Enter 鍵:
start regedit.com
註冊表編輯器將出現在 DOS 視窗前面。編輯完註冊表後,退出註冊表編輯器,然後退出 DOS 視窗。
4. 只有在完成上述步驟之後,才可繼續進行下一部分“編輯註冊表,撤消蠕蟲所做的更改”。
注意:
o 註冊表編輯器將出現在 DOS 視窗前面。請在編輯完註冊表並關閉註冊表編輯器後,關閉 DOS 視窗。
o 成功殺除 W32.HLLW.Kilonce 後,可以刪除 Regedit.com 檔案。
撤消對註冊表所做的更改:
警告:Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。“運行”對話框出現。
2. 鍵入 regedit,然後單擊“確定”。註冊表編輯器打開。
3. 導航至以下鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除下列值
KillOnce %windir%\killonce.exe
5. 導航至以下鍵並選擇該鍵:
HKEY_CLASSES_ROOT\exefile\shell\open\command
警告:HKEY_CLASSES_ROOT 鍵中包含許多引用其他檔案擴展名的子鍵。其中之一是 .exe。更改此擴展名可阻止擴展名為 .exe 的檔案運行。請確保是沿著此路徑瀏覽到 \command 子鍵的。
修改下圖中顯示的 HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command 子鍵:
<<=== 注意:應修改此鍵。
6. 雙擊右窗格中的“(默認)”值。
7. 刪除當前值數據,然後鍵入 "%1" %*(即鍵入下列字元:引號、百分號、1、引號、空格、百分號、星號)。
注意:
o 在 Windows 95/98/Me 和Windows NT系統中,註冊表編輯器會自動在值的兩邊加上引號。單擊“確定”後,“(默認)”值應如下所示:
""%1" %*"
o 在 Windows 2000/XP 系統中,不會顯示附加的引號。單擊“確定”後,“(默認)”值應如下所示:
"%1" %*
o 在鍵入正確的數據前,請確保已完全刪除 command 鍵中的所有值數據。如果在鍵的開頭不小心留了一個空格,則嘗試運行任何程式檔案時都將產生錯誤訊息“Windows 找不到 .exe”。如果出現這種情況,請重新從此文檔的開頭進行檢查,並確保完全刪除當前值數據。
8. 導航至以下鍵並選擇該鍵:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
9. 雙擊右窗格中的“(默認)”值。
10. 刪除當前的值數據,並將其替換成與您的 Windows 版本和安裝對應的正確文本。但是,該值並不是一成不變的。例如,在標準的 Windows 2000 安裝中,該值可能為:
%SystemRoot%\system32\NOTEPAD.EXE %1
我們建議您查看安裝了相同作業系統且配置相同、但未受感染的計算機上的同一值,或諮詢資深的計算機技術人員。
11. 退出註冊表編輯器。
掃描和刪除受感染檔案:
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品:請閱讀如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到有任何檔案感染了 W32.HLLW.Kilonce,請單擊“刪除”。
4. 以正常模式重新啟動計算機。從乾淨備份中還原需要的任何已被重寫的檔案。
5.
描述者: Peter Ferrie