基本信息
感染長度: 29,020 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2001-0154
由於提交率的降低,Symantec 安全回響中心自 2002 年 7 月 23 日起,將該蠕蟲的威脅級別從 4 類降為 3 類。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 11 月 24 日
* 病毒定義(智慧型更新程式) 2001 年 11 月 24 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Low
* 大規模傳送電子郵件: Uses MAPI commands to send email.
* 危及安全設定: Installs keystroke logging Trojan horse.
分發
* 分發級別: High
* 附屬檔案名稱: randomly chosen from preset list
* 附屬檔案大小: 29,020 bytes
該蠕蟲以電子郵件的形式到達,並且使用幾個附屬檔案名稱中的一個以及兩個附加擴展名的組合。它包含一組控制其行為的位:
001 記錄每個視窗文本
002 加密鍵日誌
004 將日誌檔案傳送到其多個地址中的一個
008 傳送高速快取的密碼
010 在指定時間關閉
020 將副本名稱用作註冊表名稱(或者 kernel32)
040 將 kernel32.exe 用作副本名稱
080 將當前檔案名稱用作副本路徑(跳過 100 檢查)
100 複製到 %system%(或者複製到 %windows%)
行為分析
該蠕蟲首次執行時,會根據控制位將自身作為 Kernel32.exe 複製到 %System% 或 %Windows%。然後將自己註冊為服務進程(僅 Windows 9x/Me)。它創建鍵日誌檔案 %System%\Cp_25389.nls 並放入包含鍵日誌代碼的 %System%\Kdll.dll 檔案。
注意:%Windows% 和 %System% 是變數。該蠕蟲會找到 \Windows 資料夾(默認位置為 C:\Windows 或 C:\Winnt)或 \System 資料夾(默認位置為 C:\Windows\System 或 C:\Winnt\System32),然後將自身複製到其中。
該蠕蟲使用計時器每秒檢查一次當前打開的視窗,並查找前三個字元包含下列任意內容的視窗標題:
* LOG
* PAS
* REM
* CON
* TER
* NET
這些文本構成 LOGon、PASsword、REMote、CONnection、TERminal、NETwork 等詞的開頭。該列表中還包含這些詞對應的俄語版本。如果發現這些詞中的任意一個,該蠕蟲就會啟用鍵記錄 60 秒。日誌檔案和高速快取的密碼每 30 秒就會向下列任一地址或其他當前未操作的地址傳送一次:
如果設定了適當的控制位,該蠕蟲在 20 秒後會關閉。
如果該計算機有 RAS 支持,則該蠕蟲會等待活動的 RAS 連線。在建立此類連線後,該蠕蟲有 33% 的可能性會在 %Personal% 和 Internet Explorer %Cache% 的 *.ht* 和 *.asp 檔案中搜尋電子郵件地址。如果在這些檔案中找到地址,就會使用受害人的 SMTP 伺服器向這些地址傳送郵件。如果該伺服器不可用,該蠕蟲會從它自己的列表中選擇一個。附屬檔案名稱會為以下列表中的任意一個:
* Pics
* images
* README
* New_Napster_Site
* news_doc
* HAMSTER
* YOU_are_FAT!
* stuff
* SETUP
* Card
* Me_nude
* Sorry_about_yesterday
* info
* docs
* Humor
* fun
在所有情況下,該蠕蟲還會使用 MAPI 來查找未讀的郵件以便進行答覆。答覆郵件的主題為“Re:”。在這種情況下,附屬檔案名稱會為以下列表中的任意一個:
* PICS
* IMAGES
* README
* New_Napster_Site
* NEWS_DOC
* HAMSTER
* YOU_ARE_FAT!
* SEARCHURL
* SETUP
* CARD
* ME_NUDE
* Sorry_about_yesterday
* S3MSONG
* DOCS
* HUMOR
* FUN
在所有情況下,該蠕蟲都會附加兩個擴展名。第一個擴展名為下面列出的任意一個:
* .doc
* .mp3
* .zip
附加到檔案名稱的第二個擴展名會為下面列出的任意一個:
* .pif
* .scr
組成的檔案名稱類似於 CARD.doc.pif 或 NEWS_DOC.mp3.scr。
如果可以在計算機上找到 SMTP 信息,該信息會被用於“發件人:”欄位。否則,“發件人:”欄位為下面列出的任意
電子郵件訊息利用不正規的 MIME 漏洞,使附屬檔案能夠在沒有提示的情況下就在 Microsoft Outlook 中執行。有關信息,
該蠕蟲將電子郵件地址寫入 %System%\Protocol.dll 檔案以防止將多個電子郵件傳送給同一個人。此外,在發件人的電子郵件地址之前加上下劃線 ( _ ) 字元,防止通過答覆受感染的郵件來警告發件人變為
在傳送郵件後,該蠕蟲會將值
Kernel32 kernel32.exe
添加到註冊表鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
這會導致蠕蟲在您下次啟動 Windows 時運行。該值可能會因上文提到的控制位的不同而不同。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
殺除該蠕蟲的首選方法是使用防毒工具。如果出於某些原因無法獲得該工具,則必須手動殺除該蠕蟲。
手動防毒
要手動殺除該蠕蟲,必須首先刪除蠕蟲檔案,然後還原其對註冊表所做的更改。
刪除蠕蟲檔案
請根據您 Windows 的版本,按下面相應部分的指導進行操作。
Windows 95/98/Me/2000/XP
由於蠕蟲檔案可能正被使用,因此大多數情況下必須先以安全模式重新啟動,然後 Norton AntiVirus 才能將其刪除。
警告:僅針對 Windows Me 或 Windows XP 用戶。如果運行的是 Windows Me 或 Windows XP,請先按照本文檔末尾的“Windows Me 中的系統還原選項”或“Windows XP 中的系統還原選項”部分中的指導執行操作,然後再開始防毒步驟。
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 以安全模式重新啟動計算機。有關如何執行此操作的指導,請根據您的作業系統參閱相應文檔:
o 如何以安全模式啟動 Windows 2000
o 如何以安全模式啟動 Windows XP
o 如何以安全模式重新啟動 Windows 9x 或 Windows Me
3. 啟動 Norton AntiVirus (NAV),並確保 NAV 配置為掃描所有檔案。有關如何完成此操作的指導,請參閱文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
4. 運行完整的系統掃描。
5. 記下所有被檢測為 的檔案的名稱,然後將其刪除。
6. 掃描完成後,繼續“編輯註冊表”部分。
Windows NT
由於蠕蟲檔案可能正被使用,因此大多數情況下必須先結束其進程,然後 Norton AntiVirus 才能將其刪除。
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 同時按下 Ctrl+Alt+Delete。
3. 單擊“任務管理器”。
4. 單擊“進程”選項卡。
5. 單擊“映像名稱”列標題兩次,按字母順序對進程排序。
6. 滾動列表並查找 Kern32.exe。如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。
7. 關閉任務管理器。
8. 啟動 Norton AntiVirus (NAV),並確保 NAV 配置為掃描所有檔案。有關如何完成此操作的指導,請參閱文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
9. 運行完整的系統掃描。
10. 記下所有被檢測為 的檔案的名稱,然後將其刪除。
11. 掃描完成後,繼續“編輯註冊表”部分。
編輯註冊表:
警告:強烈建議在進行任何更改之前備份系統註冊表。錯誤地更改註冊表可能會導致數據永久丟失或檔案損壞。請確保只修改指定的鍵。繼續操作之前,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。“運行”對話框出現。
2. 鍵入 regedit,然後單擊“確定”。註冊表編輯器打開。
3. 導航至下列鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
4. 在右窗格中,刪除下列值:
Kernel32 kernel32.exe
警告:Kernel32 是該蠕蟲最常添加的值,但不是唯一可能添加的值。在某些情況下,它可能不存在。除了查找並刪除該值外,還必須查找引用了在運行完全系統掃描時被檢測為受此蠕蟲感染的所有檔案的值。所有這些值都必須刪除。
5. 單擊“註冊表”,然後單擊“退出”。
6. 重新啟動計算機。
7. 為確保所有檔案都已刪除,請啟動 Norton AntiVirus 並再次運行完整的系統掃描。
隔離檔案
如果選擇隔離 Norton AntiVirus 檢測到的檔案,而不是將其刪除,請閱讀文檔:隔離檔案後的操作。
Windows Me/XP 中的系統還原選項
Windows Me 和 Windows XP 用戶應當暫時關閉系統還原功能。此功能在默認情況下是啟用的。一旦計算機中的檔案遭到破壞,WindowsMe/XP 便使用此功能還原計算機上的檔案。當計算機感染了病毒、蠕蟲或特洛伊木馬後,系統還原功能可能會備份該病毒、蠕蟲或特洛伊木馬。默認情況下, Windows 禁止外部程式對系統還原功能進行修改。因此,您很有可能會不小心還原受感染的檔案,或者在線上掃描程式會在該位置檢測到威脅。有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
o 如何禁用或啟用 Windows XP 系統還原
o 如何禁用或啟用 Windows Me 系統還原
有關其他信息以及禁用 Windows Me 系統還原功能的其他方法,請參閱 Microsoft 知識庫文章:Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder
描述者: Peter Ferrie
