病毒名稱
W32.Klez.gen@mm
病毒簡介
發現: 2001 年 11 月 9 日
更新: 2007 年 2 月 13 日 11:40:01 AM
別名: W32/Klez.e@MM, W32/Klez.h@MM, W32/Klez.gen@MM, WORM_KLEZ.E, WORM_KLEZ.G, I-Worm.Klez.e, I-Worm.Klez.h, W32/Klez-E, W32/Klez-G, W32/Klez-H
類型: Worm, Virus
感染長度: Varies
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2001-0154
W32.Klez.gen@mm 是檢測 W32.Klez 變種的普通程式。
為應對 W32.Klez@mm 變種數量的不斷增加,而創建了普通程式 W32.Klez.gen@mm。它最初與 2001 年 11 月 9 日的病毒定義一起發布。
防毒工具
Symantec 已提供了消除 W32.Klez 和 W32.ElKern 所有已知變種所造成感染的工具。如果您的計算機被檢測出感染了 W32.Klez.gen@mm,請下載並運行該工具。在多數情況下,該工具可以消除此類感染。單擊這裡以獲得該工具。。請首先嘗試該工具,因為它是消除此類威脅最簡便的方法。
要查看有關如何下載並運行該工具以及其他幾個工具的英文在線上教程,請單擊此處。
如上所述,為應對 W32.Klez@mm 變種數量的不斷增加,而創建了普通程式 W32.Klez.gen@mm。它最初與 2001 年 11 月 9 日的病毒定義一起發布。該普通檢測方式隨後又進行了多次改進和更新。現在,它包括 .E 和 .H 變種。有關 W32.Klez.E@mm 和 W32.Klez.H@mm 變種的特定信息可以分別在 W32.Klez.E@mm 和 W32.Klez.H@mm 中找到。
有關 Klez 如何影響 Macintosh 的信息,請參閱文檔:Macintosh 受 Klez 病毒的影響嗎?
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 11 月 9 日
* 病毒定義(智慧型更新程式) 2001 年 11 月 9 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Difficult
損壞
* 損壞級別: Medium
* 有效負載: Infects the system with the W32.ElKern.3326 virus
* 大規模傳送電子郵件: Emails to addresses found in the address book
分發
* 分發級別: High
* 電子郵件的主題: Random subject
* 附屬檔案名稱: Random attachment with the .BAT, .EXE, .PIF, or .SCR extension
* 附屬檔案大小: Approximately 60KB
* 共享驅動器: Infects the shared and mapped drives
W32.Klez.gen@mm 是群發郵件蠕蟲,它搜尋 Windows 通訊簿中的電子郵件地址並向找到的所有收件人傳送郵件。該蠕蟲使用它自己的 SMTP 引擎傳送郵件。
收到的電子郵件的主題和附屬檔案名稱是隨機選擇的。附屬檔案會具有下列擴展名中的任意一個:.bat、.exe、.pif 或 .scr。
該蠕蟲利用 Microsoft Outlook 和 Outlook Express 中的漏洞,在您打開或預覽郵件時嘗試進行自我執行。有關該漏洞的信息和修補程式可以在下列網址找到:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
W32.Klez.gen@mm 會嘗試將它自身複製到它找到的所有網路共享驅動器。
根據該蠕蟲的變種,它會放入下列病毒之一:
* W32.Elkern.3326
* W32.Elkern.3587
* W32.ElKern.4926
放入的病毒會感染系統。
電子郵件偽裝
該蠕蟲的有些變種使用稱為“偽裝”的技術,隨機選擇一個在受感染的計算機上找到的地址。該蠕蟲在執行其群發郵件例程時將該地址用作“發件人”地址。大量報告指出,未受感染的計算機的用戶被抱怨向他人傳送感染了病毒的郵件。
例如,Linda Anderson 使用的計算機感染了 W32.Klez.E@mm。Linda 未使用防病毒程式或沒有最新的病毒定義。當 W32.Klez.gen@mm 執行其電子郵件例程時,會找到 Harold Logan 的電子郵件地址。該蠕蟲將 Harold 的電子郵件地址插入受感染郵件的“發件人”部分,然後將該郵件傳送給 Janet Bishop。之後,Janet 與 Harold 聯繫,抱怨他傳送給了她一個受感染的郵件,但當 Harold 掃描他的計算機時,Norton AntiVirus 並未發現任何問題,這是因為他的計算機並未受到感染。
如果您使用最新版本的 Norton AntiVirus 並且具有最新的病毒定義,並且設定為掃描所有檔案的 Norton AntiVirus 完整系統掃描未發現任何問題,則可以肯定您的計算機未感染該蠕蟲。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
使用防毒工具
Symantec 安全回響中心已開發了一個工具來消除 W32.Klez 和 W32.ElKern 的所有已知感染。單擊這裡可以獲得該工具。請首先嘗試該工具,因為它是消除此類威脅最簡便的方法。
由於 W32.Klez.gen@mm 是檢測 W32.Klez 變種的普通程式,因此感染了 W32.Klez.gen@mm 的計算機也很有可能已暴露在 W32.Klez.E@mm 或 W32.Klez.H@mm 之下。如果您的計算機被檢測出來感染了 W32.Klez.gen@mm,請下載並運行該工具。在多數情況下,該工具可以消除此類感染。
要查看有關如何下載並運行該工具以及其他幾個工具的在線上教程,請單擊此處。
如果無法獲得該工具,則按照 W32.Klez.E@mm 或 W32.Klez.H@mm 中的防毒指導執行操作。
注意:如果您使用的是 Norton AntiVirus (NAV) 2000/2001/2002,則在大多數情況下,殺除該病毒後必須重新安裝 NAV。有關如何完成此操作的指導,請參閱文檔:殺除病毒後如何還原 Norton AntiVirus。
描述者: Douglas Knowles