簡介
發現: 2003 年 1 月 9 日
更新: 2007 年 2 月 13 日 11:43:08 AM
別名: W32/Sobig 【McAfee】, WORM_SOBIG.A 【Trend】, W32/Sobig-A 【Sophos】, I-Worm.Sobig 【KAV】, Win32.Sobig 【CA】
類型: Worm
感染長度: 65,536 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
概述
由於提交次數的增加,Symantec 安全回響中心自 2003 年 1 月 13 日起,將此威脅的級別從 2 類提升為 3 類。
W32.Sobig.A@mm 蠕蟲會將自身傳送到它在 .txt、.eml、.html、.htm、.dbx 和 .wab 檔案中找到的所有地址。所傳送的電子郵件具有下列特徵:
發件人:[email protected]主題:主題為以下之一:
* Re: Movies
* Re: Sample
* Re: Document
* Re: Here is that sample
附屬檔案:附屬檔案為以下之一:
* Movie_0074.mpeg.pif
* Document003.pif
* Untitled1.pif
* Sample.pif
W32.Sobig.A@mm 在傳送該郵件之前,會向 pagers.icq.com的某個地址傳送郵件。
蠕蟲還試圖將自身複製到所有開放的網路共享上的下列資料夾中:
* \Windows\All Users\Start Menu\Programs\StartUp
* Documents and Settings\All Users\Start Menu\Programs\Startup
注意:賽門鐵克接到的報告顯示 W32.Sobig.A@mm 下載並安裝特洛伊後門程式 Backdoor.Lala。
防護
* 病毒定義(每周 LiveUpdate™) 2003 年 1 月 10 日
* 病毒定義(智慧型更新程式) 2003 年 1 月 10 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Low
* 大規模傳送電子郵件: Sends itself to all the addresses found in the files .txt, .eml, .html, .htm, .dbx, and .wab
分發
* 分發級別: High
* 電子郵件的主題: Re: Movies Re: Sample Re: Document Re: Here is that sample
* 附屬檔案名稱: Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif, Sample.pif
* 附屬檔案大小: 65,536 bytes
* 共享驅動器: Copies itself to the startup directories on all the shared drives
執行 W32.Sobig.A@mm 時,此蠕蟲會執行下列操作:
1. 將自身複製為 %Windir%\winmgm32.exe。
注意:%Windir% 是一個變數。蠕蟲會找到 Windows 安裝資料夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
2. 創建 %Windir%\Winmgm32.exe 進程,帶有“start”參數。
Winmgm32.exe 進程會執行下列操作:
a. 創建名為 Worm.X 的互斥。
b. 創建用於向 pagers.icq.com 上的某個地址傳送郵件的執行緒。
c. 創建用於將特定網站的內容下載到 %Windir%\dwn.dat 檔案的執行緒。然後,蠕蟲將執行下載的內容。
d. 創建用於搜尋網路上的所有開放共享、並將自身複製到這些共 享上的下列資料夾中的執行緒:
+ Windows\All Users\Start Menu\Programs\StartUp
+ Documents and Settings\All Users\Start Menu\Programs\Startup
e. 創建用於向蠕蟲在具有下列擴展名的檔案中找到的所有地址傳送電子郵件的執行緒:
+ .txt
+ .eml
+ .html
+ .htm
+ .dbx
+ .wab
f. 將自身配置為在啟動 Windows 時啟動,方法是將下列值:
WindowsMGM %Windir%\Winmgm32.exe
添加到註冊表鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
電子郵件例程詳細信息
在電子郵件例程中傳送的郵件具有下列特徵:
發件人:[email protected]主題:主題為以下之一:
o Re: Movies
o Re: Sample
o Re: Document
o Re: Here is that sample
附屬檔案:附屬檔案為以下之一:
o Movie_0074.mpeg.pif
o Document003.pif
o Untitled1.pif
o Sample.pif
蠕蟲將它傳送的電子郵件的收件人地址存儲在 %Windir%\Sntmls.dat 中。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
防毒工具
Symantec 提供了殺除 W32.Lirva.C@mm 的工具。單擊此處可獲得該工具。這是消除此威脅最簡便的方法,應首先嘗試此方法。
手動防毒
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 更新病毒定義。
2. 通過執行下列操作,重新啟動計算機或終止蠕蟲進程:
* Windows 95/98/Me:以安全模式重新啟動計算機。
* Windows NT/2000/XP:終止蠕蟲進程。
3. 運行完整的系統掃描,並刪除所有檢測為 W32.Sobig.A@mm 的檔案。
4. 撤消病毒對註冊表所做的更改。
5. 查找並刪除蠕蟲創建的數據檔案。
有關每個步驟的詳細信息,請閱讀以下指導。
1. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
* 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。如果未出現重大的病毒爆發情況,這些病毒定義會在 LiveUpdate 伺服器上每周發布一次(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部“防護”部分的病毒定義 (LiveUpdate) 部分。
* 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義會在美國工作日(周一至周五)發布。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可以通過智慧型更新程式獲得解決該威脅的病毒定義,請見本說明頂部“防護”部分的病毒定義(智慧型更新程式)。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義,請單擊這裡。
2. 以安全模式重新啟動計算機或終止特洛伊木馬進程
o Windows 95/98/Me
以安全模式重新啟動計算機。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關指導,請參閱文檔:如何以安全模式啟動計算機。
o Windows NT/2000/XP
要終止特洛伊木馬進程,請執行下列操作:
1. 按一次 Ctrl+Alt+Del。
2. 單擊“任務管理器”。
3. 單擊“進程”選項卡。
4. 雙擊“映像名稱”列標題,按字母順序對進程排序。
5. 滾動列表並查找 Winmgm32.exe。
6. 如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。
7. 退出任務管理器。
3. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
o 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果有任何檔案被檢測為感染了 W32.Sobig.A@mm,請單擊“刪除”。
4. 撤消對註冊表所做的更改
警告:Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
2. 鍵入 regedit,然後單擊“確定”。(將打開註冊表編輯器。)
3. 導航至以下鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
d. 在右窗格中,刪除值:
WindowsMGM %windir%\winmgm32.exe
e. 退出註冊表編輯器。
5. 查找並刪除數據檔案
請根據您的作業系統,按照相應的指導進行操作:
o Windows 95/98/Me/NT/2000
1. 單擊“開始”,指向“查找”或“搜尋”,然後單擊“檔案或資料夾”。
2. 確保“搜尋”設定為 (C:) 並選中“包括子資料夾”。
3. 在“名稱”或“搜尋…”框內,鍵入(或複製並貼上)檔案名稱:dwn.dat sntmls.dat。
4. 單擊“開始查找”或“立即搜尋”。
5. 刪除顯示的檔案。
o Windows XP
1. 單擊“開始”,然後單擊“搜尋”。
2. 單擊“所有檔案和資料夾”。
3. 在“全部或部分檔案名稱稱”框中,鍵入(或複製並貼上)下列檔案名稱:dwn.dat sntmls.dat。
4. 驗證“在這裡尋找”已設定為“本地硬碟”或 (C:)。
5. 單擊“更多高級選項”
6. 選中“搜尋系統資料夾”。
7. 選中“搜尋子資料夾”。
8. 單擊“搜尋”。
9. 刪除顯示的檔案。
描述者: Douglas Knowles
