W32.Zotob.E

概述

發現： 2005 年 8 月 16 日
更新： 2007 年 2 月 13 日 12:41:31 PM
別名： CME-540, Win32/Zotob.E!Worm 【Computer A, Bozori.A 【F-Secure】, Net-Worm.Win32.Bozori.a 【Kaspe, W32/IRCbot.worm!MS05-039 【McAf, W32/Tpbot-A 【Sophos】, WORM_ZOTOB.E 【Trend Micro】, W32/Bozori.A 【Norman】
類型: Worm
感染長度： 10,366 bytes.
受感染的系統： Windows 2000
W32.Zotob.E 是一個能打開後門的蠕蟲，它能夠利用位於 TCP 連線埠 445 上的 Microsoft Windows 即插即用緩衝區溢出漏洞（Microsoft Security Bulletin MS05-039 中描述了該漏洞）。
防護
* 病毒定義（每周 LiveUpdate™） 2005 年 8 月 16 日
* 病毒定義（智慧型更新程式） 2005 年 8 月 16 日

威脅評估

廣度
* 廣度級別： Medium
* 感染數量： 0 - 49
* 站點數量： More than 10
* 地理位置分布： Low
* 威脅抑制： Easy
* 清除： Moderate
損壞
* 損壞級別： Medium
* 有效負載： Attempts to open a back door
* 降低性能： Attempts to detect network connections and a routable IP address.
分發
* 分發級別： High
* 連線埠： TCP ports 8594, 8080, and 445; UDP port 69
* 感染目標： Targets computers that can be exploited by the Microsoft Windows Plug and Play Service Vulnerability (MS05-039).
W32.Zotob.E 蠕蟲在運行時會執行下列操作：
1. 創建互斥體 "wintbp"以便一次僅運行該蠕蟲的一個副本。
2. 將自身複製為 %System%\wintbp.exe。
注意： %System% 是一個變數，它表示 System 資料夾。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、或 C:\Windows\System32 (Windows XP)。
3. 將值：
"Wintbp" = "%System%\wintbp.exe"
添加到註冊表子項：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這樣，此蠕蟲便可在 Windows 啟動時運行。
4. 嘗試檢測網路連結和可路由的 IP 地址。如果確定計算機沒有進行網路連線或 IP 地址不可路由，此蠕蟲可能無法正確運行。
5. 通過嘗試連線到以下 IP 地址打開後門：
70.20.27.115
6. 打開多個 TCP 連線埠。
7. 根據受感染的計算機的 IP 地址，傳送軟體包至隨機產生的 IP 地址。該 IP 地址使用受感染計算機的前兩個八位位元組，並隨機產生第三、四個八位位元組的值。
8. 嘗試利用以下遠程漏洞進行傳播：
Microsoft Windows 即插即用緩衝區溢出漏洞（Microsoft Security Bulletin MS05-039 中描述了該漏洞），使用 TCP 連線埠 445。
9. 如果成功，則在目標計算機上創建名為 %Temp%\【NUMBER】.bat 的檔案。該檔案包含 TFTP 腳本，該腳本會從受感染的計算機上下載該蠕蟲的副本。將該檔案保存為 【NUMBER】.exe，然後執行該檔案。該蠕蟲會記錄其所加入的 IRC 信道中已成功利用的 IP 地址。
注意： 【NUMBER】 代表 0 至 9 中的多個隨機數字
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：
* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。
以下指導適用於所有最新和最近的 Symantec 防病毒產品（包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品）。
1. 禁用系統還原 (Windows Me/XP)。
2. 更新病毒定義。
3. 運行完整的系統掃描，並刪除所有已檢測的檔案。
4. 刪除添加到註冊表的任何值。
有關每個步驟的詳細信息，請參閱以下說明。
1. 禁用系統還原 (Windows Me/XP)
如果正在運行 Windows Me 或 Windows XP，建議您暫時關閉系統還原功能。默認情況下啟用此功能，一旦計算機中的檔案被破壞，Windows Me/XP 可使用此功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法清除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。
此外，病毒掃描也可能在 System Restore 資料夾中檢測到威脅，即使您已清除此威脅。
有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：
* "如何禁用或啟用 Windows Me 系統還原
* "如何關閉或打開 Windows XP 系統還原”
注意：當您完全完成防毒步驟，並確定威脅已清除後，按照上述文檔中的指導重新啟用系統還原。
有關其它信息，以及禁用 Windows Me 系統還原的其它方法，請參閱 Microsoft 知識庫文章：Antivirus Tools Cannot Clean Infected Files in the _Restore Folder（文章 ID：Q263455）。
2. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：
* 運行 LiveUpdate，這是獲得病毒定義最簡便的方法：如果未出現重大的病毒爆發情況，這些病毒定義會在 LiveUpdate 伺服器上每周發布一次（一般為星期三）。要確定是否可通過 LiveUpdate 獲得用於此威脅的定義，請參閱病毒定義 (LiveUpdate)。
* 使用“智慧型更新程式”下載病毒定義：智慧型更新程式病毒定義每天發布一次。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可通過智慧型更新程式獲得用於此威脅的定義，請參閱病毒定義（智慧型更新程式）。
可由此處獲得最新的智慧型更新程式病毒定義：智慧型更新程式病毒定義。有關詳細說明，請參閱文檔：如何使用智慧型更新程式更新病毒定義檔案。
3. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。
* 對於 Norton AntiVirus 單機版產品：請參閱文檔：如何配置 Norton AntiVirus 以掃描所有檔案。
* 對於 Symantec AntiVirus 企業版產品：請參閱文檔： 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案，請單擊“刪除”。
要點： 如果無法啟動 Symantec 防病毒產品或該產品報告其無法刪除檢測到的檔案，則需要消除危險停止運行以便將其刪除。要完成此操作，請在安全模式下運行掃描。有關說明，請參閱文檔： 如何以安全模式啟動計算機。以安全模式重新啟動後，再次運行掃描。
刪除檔案後，以正常模式重新啟動計算機，然後繼續執行下一部分。
計算機重新啟動時可能會顯示警告訊息，因為此時可能尚未完全清除威脅。可以忽略這些訊息並單擊“確定”。徹底完成清除操作之後，再重新啟動計算機時不會出現這些訊息。所顯示訊息可能會類似於以下所示：
標題： 【檔案路徑】
訊息正文： Windows 無法找到 【檔案名稱】。請確保鍵入了正確的名稱，然後重試。要搜尋檔案，請單擊“開始”按鈕，然後單擊“搜尋”。
4. 從註冊表刪除值
要點： Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的子鍵。有關說明，請參閱文檔：如何備份 Windows 註冊表。
1. 單擊“開始”>“運行”。
2. 鍵入 regedit
3. 單擊“確定”。
注意： 如果無法打開註冊表編輯器，則威脅可能已經修改了註冊表以防止進入註冊表編輯器。Security 安全回響中心已開發了一種工具以解決此問題。下載並運行此工具，然後繼續防毒。
4. 導航到下列子項：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. 在右窗格中，刪除值：
" "Wintbp" = "%System%\wintbp.exe"
6. 退出註冊表編輯器。
描述者： Maryl Magee