病毒名稱
病毒簡介
發現: 2001 年 9 月 3 日
更新: 2007 年 2 月 13 日 1:02:36 PM
別名:I-Worm.Magistr.b 【Kaspersky】, W32.Magistr.B@mm, W32/Magistr.b@MM 【McAfee】, W32/Magistr.32768@mm 【Frisk】, PE_Magistr.B 【Trend】, W32/Magistr-B 【Sophos】, Win32.Magistr.29188 【Computer
類型: Worm, Virus
感染長度: 39,921 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
由於提交數量增加,Symantec自 2001 年 9 月 6 日起已將該病毒升級為 3 類。
W32.Magistr.39921@mm 是 W32.Magistr.24876@mm的一個變種。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 9 月 4 日
* 病毒定義(智慧型更新程式) 2001 年 9 月 4 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: High
* 大規模傳送電子郵件: Uses email addresses from the Windows and Eudora Address Book files, Outlook Express Sent Items folder, and Netscape Sent Items files.
* 泄露機密信息: It could send confidential Microsoft Word documents to others.
* 導致系統不穩定: Overwrites hard drives, erases CMOS, flashes the BIOS.
分發
* 分發級別: High
* 電子郵件的主題: Randomly generated text that can be up to 60 characters long.
* 附屬檔案名稱: One randomly named infected executable and several randomly selected text or document files
* 感染目標: All Windows PE files that are not .dll files.
下面列出了其他功能以及 W32.Magistr.39921@mm 與 W32.Magistr.24876@mm 之間的行為區別:
* 識別 Eudora 通訊簿(在 Eudora.ini中列出。)
* 搜尋檔案時刪除 *.ntz。
* 試圖禁用 ZoneAlarm 的用戶界面(不會禁用 ZoneAlarm 防火牆功能。)
* 在 System.ini 的 Boot 部分的 Shell=explorer.exe 行中添加一項,調用 W32.Magistr.Trojan。在某些情況下, 它可能添加一個或多個註冊表項。
* 搜尋多個 Windows 資料夾(Winnt、Windows、Win95、Win98、Winme、Win2000、Win2k、Winxp。)
* 通過電子郵件傳送具有隨機擴展名(.exe、.bat、.pif 或 .com)的附屬檔案。
* 偶爾會將 .gif 檔案附加到電子郵件中。
* 有效負載用代碼覆蓋所有驅動器上的 Ntldr (Windows NT/2000/XP) 和 Win.com(所有 Windows 32 OS)檔案,從而導致在第一個 IDE 硬碟驅動器的第一個扇區中存儲有垃圾數據。
Symantec 提供的工具 Fixmagi.com 用於殺除 W32.Magistr@mm 的所有已知變種的感染。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
要殺除 W32.Magistr.39921@mm 及其放入的特洛伊木馬,請運行 NAV 並修復所有受感染的檔案。無法修復的檔案應當予以刪除。然後刪除 System.ini 的 Shell= 行中的 W32.Magistr.Trojan 項及該病毒添加到註冊表中的所有項。
殺除 W32.Magistr.39921@mm:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 啟動 Norton AntiVirus (NAV),並確保 NAV 配置為掃描所有檔案。有關如何完成此操作的指導,請參閱文檔:如何配置 Norton AntiVirus 掃描所有檔案。
3. 運行完整的系統掃描。
4. 如果有任何檔案被檢測為感染了 W32.Magistr.39921@mm ,應記錄下檔案名稱,然後單擊“修復”。 無法修復的檔案應予以刪除。如果需要,請從乾淨的備份中還原已刪除的檔案。
警告:必須從備份副本中還原或從原始安裝光碟中提取被檢測為 W32.Magistr.Trojan(注意 Trojan 擴展名)的檔案。(這些檔案是系統檔案 Ntldr 和 Win.com。Ntldr 是在 Windows NT/2000/XP 計算機上找到的。Win.com 是在所有 Windows 32 OS 上找到的。)缺少這些檔案,您的系統將無法正常運行。有關的操作信息,請參閱 Windows 文檔或下列文檔之一:
o 如何在 Windows 98 和 Windows Me 中提取檔案(英文)。
o 如何使用 Windows 2000 或 Windows NT 4.0 提取檔案(英文)。
從 System.ini 中刪除 W32.Magistr.Trojan 項:
1. 在 NAV 掃描過程中,記錄下感染了 W32.Magistr.Trojan 的所有檔案的名稱。
2. 單擊“開始”,然後單擊“運行”。
3. 鍵入下列內容,然後單擊“確定”:
edit c:\windows\system.ini
MS-DOS 編輯器打開。
注意:如果 Windows 安裝在其他位置,請用相應的路徑替換。
4. 在檔案的 【boot】 部分,查找下列項
shell=Explorer.exe
5. 將游標放置在緊挨 Explorer.exe 的右側。
6. 按 Shift+End 選擇 Explorer.exe 右側的所有文本,然後按 Delete。
7. 單擊 File,然後單擊 Exit。
8. 當詢問您是否保存更改時,單擊“Yes”。
注意:如果按照上述防毒指導操作後仍然出現問題,則按照 W32.Magistr.24876@mm防毒部分中的指導執行操作。
編輯註冊表:
警告:強烈建議進行任何更改之前先備份系統註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。請只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。“運行”對話框出現。
2. 鍵入 regedit,然後單擊“確定”。註冊表編輯器打開。
3. 導航至下列鍵:
HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,查找具有隨機檔案名稱及 .exe 擴展名且指向 \WinNT\System 或 \Windows\System 資料夾的值。這可能是在運行完整的系統掃描時被檢測為 W32.Magistr.39921@mm 的檔案的名稱。
5. 刪除找到的所有此類值。
6. 執行下列操作之一:
o 如果運行的是 Windows 95/98/Me,單擊“註冊表”,然後單擊“退出”。
o 如果運行的是 Windows NT/2000/XP,則繼續步驟 7。
7. 導航至下列鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
8. 在右窗格中,雙擊下列值。
Shell
9. 查看數值數據框。它應當只包含文本 Explorer.exe,如下圖所示。
10. 如果 Explorer.exe 的右側有任何文本,如 warm.exe,
則刪除該文本以便只保留 Explorer.exe,如步驟 9 中所示。
11. 單擊“註冊表”,然後單擊“退出”。
描述者: Peter Ferrie
