病毒名稱
病毒簡介
發現: 2001 年 3 月 13 日
更新: 2007 年 2 月 13 日 11:36:17 AM
別名: W32.Magistr.24876.int, W32.Magistr.24876.corrupt, I-Worm.Magistr.a 【KAV】, PE_MAGISTR.A 【Trend】, W32/Disemboweler 【Panda】, W32/Magistr-A 【Sophos】, W32/Magistr.a@MM 【McAfee】, Win32.Magistr.24876 【CA】
類型: Worm, Virus
感染長度: varies
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
由於提交率的降低,Symantec 安全回響中心自 2001 年 12 月 10 日起將該威脅的級別從 4 類降為 3 類。
W32.Magistr.24876@mm 是具有電子郵件蠕蟲功能的病毒。它還具有網路意識。它感染除 .dll 系統檔案之外的 Windows 可移植的執行檔 (PE) 檔案。它的一些地址傳送電子郵件,這些地址是病毒從Outlook/Outlook 郵件資料夾(.dbx、.mbx)、Netscape 中的已傳送項目檔案以及 Windows 通訊簿 (.wab) (供Microsoft Outlook 和Microsoft Outlook Express 等郵件客戶端使用)中收集來的。所傳送的電子郵件最多可能有兩個附屬檔案,並且主題行和郵件正文是隨機產生的。
注意:在很多情況下,該病毒會 “接觸” 檔案,並將其以電子郵件附屬檔案的形式傳送出去。這些檔案不包含病毒代碼,應被視作乾淨檔案。在這種情況下,可以安全地刪除該檔案,為謹慎起見,還應告知發件人其系統已感染了該病毒。
什麼是可移植的執行檔 (PE)?
PE 檔案是能在所有 Microsoft 32 位作業系統間進行移植的檔案。同一 PE 格式的執行檔可以在 Windows 95、98、Me、NT 和 2000 任一版本上執行。因此,所有的 PE 檔案都是執行檔,但並非所有執行檔都是可移植的。
螢幕保護程式 (.scr) 檔案就是可移植的執行檔的一個很好示例。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 3 月 13 日
* 病毒定義(智慧型更新程式) 2001 年 3 月 13 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: High
* 大規模傳送電子郵件: Uses email addresses from the Windows Address Book files and Outlook Express Sent Items folder.
* 泄露機密信息: It could send confidential Microsoft Word documents to others.
* 導致系統不穩定: Overwrites hard drives, erases CMOS, flashes the BIOS.
分發
* 分發級別: High
* 電子郵件的主題: Randomly generated text that can be up to 60 characters long.
* 附屬檔案名稱: One randomly named infected executable and several randomly selected text or document files
* 感染目標: All the Windows PE files that are not .dll files.
當受 W32.Magistr.24876@mm 感染的檔案被執行時,會在記憶體中搜尋 Explorer.exe 記憶體空間內一個可讀、可寫、並已初始化的區域。如果找到,則在該區域插入一個 110 位元組的例程,同時將 TranslateMessage 函式鉤連並指向該例程。此代碼第一次出現是在 W32.dengue 中。
當插入的代碼得到控制權時,會創建一個執行緒並調用原來的 TranslateMessage 函式。執行緒在等待三分鐘後激活。然後該病毒獲得計算機的名稱,將其轉換成一個 base64 字元串,並根據該名稱的第一個字母,在 \Windows 資料夾、\Program Files 資料夾或根資料夾中創建一個檔案。此檔案包含了某些信息,如電子郵件通訊簿的位置和初始感染日期。然後該病毒從註冊表(對於Outlook、 Exchange、Internet Mail and News)或 Prefs.js 檔案 (對於Netscape) 中檢索當前用戶的電子郵件名稱和地址信息。病毒在其體內始終保留 10 位最近受感染的用戶的記錄,當病毒被解密時,在受感染的檔案中可以看到這些用戶的名字。此後,病毒在 Netscape 資料夾中搜尋 Sent 檔案,而在 \Windows 和 \Program Files 資料夾中搜尋 .wab、.mbx 和 .dbx 檔案。
如果存在活動的 Internet 連線,則病毒會搜尋五個 .doc 和 .txt 檔案,並從其中的某個檔案中選擇一些單詞(單詞數量是隨機的)用於構成電子郵件的主題和郵件正文。然後,病毒搜尋多達 20 個小於 128 KB 的 .exe 和 .scr 檔案,感染其中的一個檔案,並將感染後的檔案附加到新郵件中,傳送給通訊簿中的 100 個用戶。另外,附加從中提取了主題和郵件正文的檔案的幾率為 20%。還有 80% 的幾率為在發件人地址的第二個字元後加一個數字 1。後一種更改會使您無法收到答覆及可能發出的感染警報。
在郵寄完成後,病毒搜尋20個 .exe 和 .scr 檔案,並感染其中的一個檔案。如果 Windows 目錄為下列任意一個:
o Winnt
o Win95
o Win98
o Windows
那么病毒將受感染檔案移入 \Windows 資料夾中並稍稍改變檔案名稱的幾率為 25%。檔案移動完成後,Win.ini 檔案中就添加了一個 run= 行,從而使得無論何時啟動計算機此病毒都會運行。在另外 75% 的幾率下案例中,該病毒會在下列註冊表鍵中創建一個子鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
該子鍵的名稱是不帶後綴的檔案名稱,而值是受感染檔案的完整檔案名稱。然後,病毒在本地所有硬碟驅動器和網路上的所有已分享檔案夾中搜尋 20 個 .exe 和 .scr 檔案來進行感染,並且如果在該位置存在 \Windows 資料夾,還將添加 run= 行。
如果計算機已感染了一個月,並且至少已向 100 個人傳送了受感染檔案,同時至少有三個檔案包含下面列表中三個或三個以上的示例,則該病毒將首次激活其有效負載:
sentences you
sentences him to
sentence you to
ordered to prison
convict
, judge
circuit judge
trial judge
found guilty
find him guilty
affirmed
judgment of conviction
verdict
guilty plea
trial court
trial chamber
sufficiency of proof
sufficiency of the evidence
proceedings
against the accused
habeas corpus
jugement
condamn
trouvons coupable
a rembourse
sous astreinte
aux entiers depens
aux depens
ayant delibere
le present arret
vu l'arret
conformement a la loi
execution provisoire
rdonn
audience publique
a fait constater
cadre de la procedure
magistrad
apelante
recurso de apelaci
pena de arresto
y condeno
mando y firmo
calidad de denunciante
costas procesales
diligencias previas
antecedentes de hecho
hechos probados
sentencia
comparecer
juzgando
dictando la presente
los autos
en autos
denuncia presentada
此有效負載與 W32.Kriz 的有效負載相似,並執行下列操作:
* 刪除受感染檔案
* 擦除 CMOS(只適用於 Windows 9x/Me)
* 擦除 Flash BIOS(只適用於 Windows 9x/Me)
* 每隔 24 個檔案用文本 YOUARESHIT 覆蓋下一個檔案中適當的部分
* 每隔一個檔案刪除一個檔案
* 顯示下列訊息:
* 覆蓋第一個硬碟的一個扇區
此有效負載會無限重複。
如果計算機已感染了兩個月,則在奇數日期,無論滑鼠指針何時指向桌面的圖示,這些圖示都會改變位置,就好像圖示從滑鼠下“逃跑”了。
如果計算機已感染了三個月,則會刪除受感染的檔案。
對那些受 W32.Magistr.24876@mm 感染的檔案來說,入口點地址將保持不變,但在該地址放置了多達 512位元組的垃圾代碼。此垃圾代碼將控制權傳輸到最後部分。最後部分會附加一個多形加密體。此病毒對調試程式不友好,如果發現調試程式,將會使計算機崩潰。
注意:如果檔案被檢測為感染了 W32.Magistr.corrupt,則意味著此檔案被病毒破壞並且不能修復。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
殺除該蠕蟲,請修復被檢測為感染了 W32.Magistr.24876@mm 的檔案並還原它對 Window 註冊表或 Win.ini 檔案所做的更改。
注意:該蠕蟲在基於 Windows 95/98/Me 的計算機上會嘗試擦除 CMOS 和 Flash BIOS。在大多數情況下,都不會成功。如果成功,則計算機將無法正常啟動。在這種情況下,您應當首先聯繫計算機生產商,此常試獲得有關如何解決該問題的指導。
殺除蠕蟲:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 啟動 Norton AntiVirus (NAV),並確保 NAV 配置為掃描所有檔案。有關如何完成此操作的指導,請參閱文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
3. 運行完整的系統掃描。
4. 如果有任何檔案被檢測為感染了 W32.Magistr.24876@mm ,則記下檔案名稱,然後單擊“修復”。刪除無法修復的檔案。
編輯註冊表:
該蠕蟲向註冊表添加值的幾率為 75%。請首先按照本部分中的指導進行操作。如果未找到該蠕蟲所添加的值,則繼續下一部分。
警告:強烈建議在進行任何更改之前備份系統註冊表。錯誤地更改註冊表可能會導致數據永久丟失或檔案損壞。請確保只修改指定的鍵。繼續操作之前,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。“運行”對話框出現。
2. 鍵入 regedit,然後單擊“確定”。註冊表編輯器打開。
3. 導航至以下鍵
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除被檢測為感染了 W32.Magistr.24876@mm 的檔案的值。
編輯 Win.ini 檔案:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入以下內容,然後單擊“確定”:
edit c:\windows\win.ini
MS-DOS 編輯器打開。
注意:如果 Windows 安裝在其他位置,請用相應的路徑代替。
3. 在檔案的 【windows】 部分,查找以下面內容開頭的行:
run=
4. 在等號 (=) 右側,查找引用被檢測為感染了 W32.Magistr.24876@mm 的檔案的文本。
5. 刪除該文本。
6. 單擊 File,然後單擊 Save。
7. 退出 MS-DOS 編輯器。
注意:此病毒包含 bug,當 bug 試圖感染某些檔案以及首次激活有效負載時會破壞這些檔案。這些檔案不能修復,必須從備份中將其還原。(這些檔案可能被檢測為感染了 W32.Magistr.corrupt)
描述者: Peter Ferrie
