W32.Lirva.A@mm

W32.Lirva.A@mm

W32.Lirva.A 是一個群發郵件蠕蟲,它也通過 IRC、ICQ、KaZaA 和開放的網路共享進行傳播。該蠕蟲會試圖終止防病毒和防火牆產品。它還將快取的 Windows 95/98/Me 撥號網路密碼通過電子郵件傳送給病毒的編寫者。當 Microsoft Outlook 收到該蠕蟲後,它就會利用您在讀取或預覽該電子郵件時允許自動執行附屬檔案的漏洞進行破壞。逢每月的7、11或24號,該蠕蟲就會將您的 Web 瀏覽器啟動到 www.avril-lavigne.com 並在 Windows 桌面上顯示圖形動畫。

病毒名稱

W32.Lirva.A@mm

病毒簡介

發現: 2003 年 1 月 7 日
更新: 2007 年 2 月 13 日 11:42:32 AM
別名: W32/Avril-A 【Sophos】, W32/Lirva.b@MM 【McAfee】, WORM_LIRVA.A 【Trend】, Win32.Lirva.A 【CA】, I-Worm.Avron.c 【KAV】, Lirva 【F-Secure】
類型: Worm
感染長度: 32,766 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2001-0154
由於提交次數的增加,Symantec 安全回響中心自 2003 年 1 月 9 日起,將此威脅的級別從 2 類提升為 3 類。
W32.Lirva.A 是一個群發郵件蠕蟲,它也通過 IRC、ICQ、KaZaA 和開放的網路共享進行傳播。該蠕蟲會試圖終止防病毒和防火牆產品。它還將快取的 Windows 95/98/Me 撥號網路密碼通過電子郵件傳送給病毒的編寫者。
當 Microsoft Outlook 收到該蠕蟲後,它就會利用您在讀取或預覽該電子郵件時允許自動執行附屬檔案的漏洞進行破壞。有關該漏洞的信息和補丁程式,請訪問:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
逢每月的 7、11 或 24 號,該蠕蟲就會將您的 Web 瀏覽器啟動到 www.avril-lavigne.com 並在 Windows 桌面上顯示圖形動畫
防護
* 病毒定義(每周 LiveUpdate™) 2003 年 1 月 7 日
* 病毒定義(智慧型更新程式) 2003 年 1 月 7 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Easy
* 清除: Moderate
損壞
* 損壞級別: Medium
* 有效負載觸發器: If the day of the month is the 7th, 11th, or 24th
* 有效負載: Opens a website and displays an image on the Windows desktop.
* 大規模傳送電子郵件: Sends email to addresses found by searching the Windows Address Book and files that have the extensions .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .NCH, and .idx
* 泄露機密信息: Emails cached Windows 95/98/Me dial-up networking passwords to the virus writer
* 危及安全設定: Attempts to terminate antivirus and firewall products
分發
* 分發級別: High
* 電子郵件的主題: Various subject lines
* 附屬檔案名稱: Various attachment names
* 附屬檔案大小: 32,766 bytes
* 共享驅動器: Spreads by IRC, ICQ, KaZaA, and open network shares
執行 W32.Lirva.A 時,該蠕蟲會執行下列操作:
1. 終止具有以下名稱的所有進程:
(單擊左側箭頭打開進程列表)
2. 清點所有視窗並終止任何具有以下視窗標題欄的進程:
o virus
o anti
o McAfee
o Virus
o Anti
o AVP
o Norton
3. 將其自身作為隱藏的系統檔案複製到:
o %Temporary%\<random string>
o %Temporary%\<random string>.tft
o %System%\<random string>.exe
o %All Drives%\Recycled\<random string>.exe
o %Kazaa Downloads%\<random string>.exe
4. 將值:
Avril Lavigne - Muse
添加到註冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這樣,此蠕蟲便可在 Windows 啟動時運行。
如果作業系統為 Windows NT/2000/XP,則該蠕蟲會將其自身組冊為一項服務。
5. 創建註冊表鍵:
HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne
及蠕蟲用於跟蹤其感染過程的各種子鍵。
6. 在 Windows Temporary 資料夾中創建無惡意文本檔案 %Temporary%\Avril-ii.inf 及其他臨時檔案。
7. 檢查計算機當前是否連線了網路。如果未連線,該蠕蟲將嘗試使用默認的撥號連線配置檔案進行撥號。
8. 搜尋 Windows 地址簿及具有以下擴展名的檔案查找電子郵件地址:.dbx、.mbx、.wab、.html、.eml、.htm、.tbb、.shtml、.nch 和 .idx。然後,該蠕蟲使用以下字元傳送電子郵件訊息:
o 主題:主題會為下列任意一個:
+ Fw: Prohibited customers...
+ Re: Brigade Ocho Free membership
+ Re: According to DAOS Summit
+ Fw: Avril Lavigne - the best
+ Re: Reply on account for IIS-Security
+ Re: ACTR/ACCELS Transcriptions
+ Re: The real estate plunger
+ Fwd: Re: Admission procedure
+ Re: Reply on account for IFRAME-Security breach
+ Fwd: Re: Reply on account for Incorrect MIME-header
o 正文:訊息正文會為以下任意一個:
+ Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
+ Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
+ Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
o 附屬檔案:附屬檔案為下列檔案之一:
+ Resume.exe
+ download.exe
+ MSO-Patch-0071.exe
+ MSO-Patch-0035.exe
+ Two-Up-Secretly.exe
+ Transcripts.exe
+ Readme.exe
+ AvrilSmiles.exe
+ AvrilLavigne.exe
+ Complicated.exe
+ Singles.exe
+ Sophos.exe
+ Cogito_Ergo_Sum.exe
+ CERT-Vuln-Info.exe
+ Sk8erBoi.exe
+ IAmWiThYoU.exe
o 發件人:該蠕蟲會使用默認的 SMTP 伺服器和用戶名作為“發件人”地址。
當 Microsoft Outlook 收到該蠕蟲後,它就會利用您在讀取或預覽該電子郵件時允許自動執行附屬檔案的漏洞進行破壞。有關該漏洞的信息和補丁程式,請訪問:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
9. 作為傳送電子郵件例程的一個部分,該蠕蟲會創建臨時檔案 %Temporary%\NewBoot.sys,該檔案通常會立即刪除掉。
10. 通過確定 ICQ 程式檔案的路徑來搜尋檔案 icqmapi.dll。如果該蠕蟲找到這個檔案,它就會將其複製到 \Windows\System 資料夾並將其自身傳送給 ICQ 聯繫列表中的所有聯繫人。
11. 在 mIRC 程式檔案資料夾創建 Script.ini 檔案。該檔案將連線到 IRC 信道 #avrillavigne 並將其自身傳送給其他加入您所加入的信道的用戶。
12. 清點所有網路資源,搜尋開放的 C 共享。如果該蠕蟲找到開放的 C 共享,它會將其自身複製到遠程系統的 \Recycled\<隨機字元串>.exe ,並通過添加以下命令行修改該遠程系統的 Autoexec.bat 檔案以在啟動時載入該蠕蟲:
@win <random string>.exe
13. 將其自身複製到每個本地硬碟的 \Recycled\<隨機字元串>.exe,並修改 Autoexec.bat 檔案(添加 aforementioned 行),以便該蠕蟲在 Windows 啟動時運行(僅在 Windows 95/98/Me 計算機上)。
14. 使用隨機檔案名稱將其自身複製到 KaZaA 下載資料夾中。
15. 逢每月的 7、11 或 24 號,該蠕蟲就會將您的 Web 瀏覽器啟動到 www.avril-lavigne.com 並在 Windows 桌面上顯示圖形動畫。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
防毒工具
Symantec 提供了殺除 W32.Lirva.A 的工具。單擊此處可獲得該工具。這是消除此威脅最簡便的方法,應首先嘗試此方法。
手動防毒
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 以安全模式重新啟動計算機。
2. 刪除它添加到註冊表中的值並以正常模式重新啟動。
3. 更新病毒定義。
4. 運行完整的系統掃描,並刪除所有檢測為 W32.Lirva.A@mm 的檔案。
有關每個步驟的詳細信息,請閱讀以下指導。
1. 以安全模式重新啟動
以安全模式重新啟動計算機。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機。
2. 從註冊表刪除值:
Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。將出現“運行”對話框。
2. 鍵入 regedit,然後單擊“確定”。將打開註冊表編輯器。
3. 導航至以下鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除值:
Avril Lavigne - Muse
5. 退出註冊表編輯器。
6. 重新啟動計算機並允許它以正常模式啟動。
3. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布病毒定義之前,會全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
o 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。如果未出現重大的病毒爆發情況,這些病毒定義會在 LiveUpdate 伺服器上每周發布一次(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義 (LiveUpdate) 部分。
o 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義會在美國工作日(周一至周五)發布。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)部分。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義,請單擊這裡。
4. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
o 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果有任何檔案被檢測為感染了 W32.Lirva.A@mm,請單擊“刪除”。
描述者: Atli Gudmundsson

相關詞條

相關搜尋

熱門詞條

聯絡我們