簡介
發現: 2002 年 11 月 4 日
更新: 2007 年 2 月 13 日 11:41:49 AM
別名: PE_BRID.A 【Trend】, W32/Braid.a@mm 【McAfee】, W32/Braid-A 【Sophos】, Win32.Braid.A 【CA】, I-Worm.Bridex.a 【KAV】, W32/Bride 【Panda】, W32/Bridex.A@mm 【F-Prot】
類型: Worm
感染長度: 114.687 Bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2001-0154
由於提交率的提高,Symantec 安全回響中心自 2002 年 11 月 15 日起,將此病毒威脅級別從 2 類升級為 3 類。
介紹
W32.Brid.A@mm 是群發郵件型蠕蟲病毒,它包含略經修改的 W32.funlove.4099 變種。W32.Brid.A@mm 運行時,會嘗試在系統中插入幾個檔案並將自身通過郵件進行群發。此蠕蟲自身包含 SMTP 引擎,它嘗試獲取電子郵件伺服器的地址並直接與其聯繫。該電子郵件具有下列特徵:
主題:【註冊的 Windows 公司名稱】
附屬檔案:Readme.exe
此蠕蟲使用 Internet Explorer 中的已知漏洞,即不正確的 MIME 頭可導致 IE 執行電子郵件附屬檔案(英文)。
注意:Symantec 防病毒產品可檢測到 W32.Funlove.4099 病毒組件,但其病毒定義必須是 1999 年 12 月 8 日或之後發布的。
如果此蠕蟲在記憶體中處於活動狀態,會停止各種安全性產品的進程,包括 Norton AntiVirus 和 Symantec AntiVirus。如果發生這種情況,則在使用 Symantec 防病毒產品殺除該蠕蟲之前,必須先從記憶體中刪除它。要完成此操作,請按照前一部分“刪除蠕蟲添加到註冊表中的值”中的指導操作,再重新啟動計算機,然後按照防毒指導從頭執行操作。
防護
* 病毒定義(每周 LiveUpdate™) 2002 年 11 月 4 日
* 病毒定義(智慧型更新程式) 2002 年 11 月 4 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Emails everyone in the Microsoft Outlook Adress Book, and addresses that if finds in .htm and .dbx files.
* 刪除檔案: MSconfig.exe in the %system% folder will be overwritten by the worm
* 降低性能: If the virus and/or worm is active in memory, the computer will become slow, and may stop responding occasionally
* 導致系統不穩定: If the worm is active in memory, the computer may crash and/or become completly unresponsive to any commands.
分發
* 分發級別: High
* 電子郵件的主題: Company name as registered in Windows or the same name as in the To: field.
* 附屬檔案名稱: Readme.exe
* 附屬檔案大小: 114,687 Bytes
* 共享驅動器: W32.Funlove.4099 infects files on shared drives
此蠕蟲運行時,會首先嘗試連線到 www.hotmail.com。如果無法連線,則在蠕蟲執行惡意操作之前會有一個短暫的延遲。
接著,蠕蟲將在系統中插入幾個檔案,修改 Windows 註冊表,運行略經修改的 W32.Funlove.4099 變種,並將自身通過電子郵件傳送給 Microsoft Outlook 通訊簿中的所有聯繫人。
檔案插入
此蠕蟲在計算機中插入幾個檔案。
它將以下檔案複製到 Windows 桌面:
o Help.eml
o Explorer.exe
Help.eml 是 Microsoft Outlook Express 檔案。如果在未安裝修補程式的系統上打開此檔案,附屬檔案(即蠕蟲)將自動運行。此操作利用了已知的漏洞,即不正確的 MIME 頭可導致 IE 執行電子郵件附屬檔案。
Explorer.exe 是蠕蟲的副本。
W32.Brid.A@mm 還將創建下列檔案:
o %system%\Bride.exe
o %system%\Msconfig.exe
o %system%\Regedit.exe
注意:%System% 是一個變數。此蠕蟲會查找系統資料夾並以 %system%\Regedit.exe 的形式將其自身複製到該位置。默認情況下,此位置為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
%system%\Bride.exe 和 %system%\Msconfig.exe 包含病毒 W32.Funlove.4099。此蠕蟲會執行該檔案。
註冊表修改
此蠕蟲將值
regedit %system%\regedit.exe
添加到註冊表鍵
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以使其在啟動 Windows 時運行。
它還會在下列位置添加三個鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Explorer\RemoteComputer
病毒插入
此蠕蟲包含略經修改的 W32.Funlove.4099 變種。蠕蟲會嘗試執行此病毒。此病毒變種與原 W32.Funlove.4099 的主要區別在於使用的檔案名稱。此變種使用檔案名稱 Bride.exe 而不是 Flcss.exe。
有關詳細信息,請參閱 W32.Funlove.4099 的相關文檔。
注意:Symantec 防病毒產品可檢測到 W32.Funlove.4099 病毒組件,但其病毒定義必須是1999 年 12 月 8 日或之後發布的。
電子郵件例程
此蠕蟲自身包含 SMTP 引擎,並且將嘗試查找並直接聯繫電子郵件伺服器。
它嘗試向 Microsoft Outlook 通訊簿中的每個人以及它在 .htm 及 .dbx 檔案中找到的所有電子郵件地址傳送電子郵件。此蠕蟲傳送的電子郵件形式為:
發件人:【註冊的 Windows 用戶名稱】
注意:某些情況下,“發件人:”欄位中的文本可能與“收件人:”欄位中的文本相同。
主題:【註冊的 Windows 公司名稱】
郵件正文:
Hello,
Product Name: 【Windows 版本】
Product ID: 【Windows ID】
Product Key: 【密鑰】
Process List: 【進程列表】
Thank you.
方括弧中的信息取自於受感染的計算機。蠕蟲將附加到電子郵件中,如果在未安裝修補程式的系統上查看電子郵件,蠕蟲將自動運行。
有關此漏洞的詳細信息,請參閱 Microsoft Security Bulletin。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
注意:以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
使用防毒工具防毒
Symantec 安全回響中心已提供了用於殺除 W32.Brid.A@mm、W32.Funlove.4099 和 W32.Funlove.int 病毒感染的免費工具。這是殺除病毒的最簡單的方法。有關如何獲得和使用 W32.Brid.A@mm/W32.Funlove.4099 防毒工具的完整指導,請單擊此處。
手動防毒
1. 更新病毒定義。
2. 以安全模式重新啟動計算機。
3. 運行完整的系統掃描,並修復所有被檢測為 W32.Funlove.4099 的檔案。刪除所有被檢測為 W32.Brid.A@mm 或 W32.Funlove.int 的檔案。
4. 刪除蠕蟲添加到註冊表鍵
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中的值
regedit
有關如何完成這些操作的詳細信息,請參閱下列指導。
更新病毒定義:
所有病毒定義在發布至我們的伺服器之前,都經過了 Symantec 安全回響中心的全面質量監控測試。可以通過兩種方式獲得最新的病毒定義:
* 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。如果未出現重大的病毒爆發情況,這些病毒定義會在 LiveUpdate 伺服器上每周發布一次(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義 (LiveUpdate) 行。
* 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義會在美國工作日(周一至周五)發布。必須從 Symantec 安全回響中心網站下載病毒定義,並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)行。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義,請單擊這裡。
在安全模式下重新啟動計算機:
除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機。
掃描和修復受感染檔案:
1. 啟動 Symantec 防病毒軟體,並確保已將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品:請閱讀“如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案”。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案被 W32.Funlove.4099 感染,請單擊“修復”。
4. 如果檢測到任何檔案被 W32.Funlove.int 或 W32.Brid.A@mm 感染,請單擊“刪除”。
刪除蠕蟲添加到註冊表中的值:
警告:Symantec 強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改,可能導致永久性數據丟失或檔案損壞。請僅修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。將出現“運行”對話框。
2. 鍵入 regedit,然後單擊“確定”。將打開“註冊表編輯器”。
3. 導航至鍵
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除值
regedit
5. 退出“註冊表編輯器”。
描述者: Neal Hindocha
