W32.Frethem.L@mm

W32.Frethem.K@mm 是一種蠕蟲,是 W32.Frethem.B@mm 的一個變種。此蠕蟲使用自己的 SMTP 引擎將自身傳送到在 Microsoft Windows 通訊簿以及 .dbx、.wab、.mbx、.eml 和 .mdb 檔案中找到的電子郵件地址。

基本介紹

  • 中文名:W32.Frethem.L@mm
  • 別名:W32.Frethem.K@mm、I-Worm.Frethem.l [KAV]、W32/Frethem.l@MM [McAfee]、WORM_FRETHEM.K [Trend]、W32/Frethem-Fam [Sophos]、Win32.Frethem.K [CA]、W32/Frethem.K [Panda]、W32/Frethem.L [F-Prot]
  • 類型:Worm
  • 發現:2002 年 7 月 15 日
  • CVE 參考:CVE-2001-0154
  • 感染長度:48,640 bytes
  • 更新:2007 年 2 月 13 日 11:40:17AM
  • 感染系統:Windows 2000, Windows 98, Windows Me, Windows NT, Windows XP
病毒特徵,防護,威脅評估,廣度,損壞,分發,行為分析,建議,清除,

病毒特徵

電子郵件具有下列特徵:
主題:Re: Your password!
附屬檔案:Decrypt-password.exe and Password.txt

防護

* 病毒定義(每周 LiveUpdate™) 2002 年 7 月 15 日
* 病毒定義(智慧型更新程式) 2002 年 7 月 15 日

威脅評估

廣度

* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Moderate

損壞

* 損壞級別: Low
* 大規模傳送電子郵件: Sends to email addresses found in the Windows Address Book and .dbx .wab, .mbx, .eml, and .mdb files.

分發

* 分發級別: High
* 電子郵件的主題: Re: Your password!
* 附屬檔案名稱: Decrypt-password.exe , Password.txt
* 附屬檔案大小: 48,640 bytes

行為分析

執行此蠕蟲時,它會執行下列操作:
將自身複製到檔案 %windir%\Taskbar.exe
注意:%Windows% 是一個變數。蠕蟲會找到 Windows 主安裝資料夾(默認位置是 C:\Windows 或 C:\Winnt),然後將自身複製到該位置。
然後,將自身配置為在啟動 Windows 時啟動,方法是將下列值:
Task Bar %windir%\taskbar.exe
添加到註冊表鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
接著,蠕蟲會從下列註冊表鍵中獲得計算機用戶的SMTP 伺服器、電子郵件地址和 SMTP 伺服器的名稱:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Server
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Email Address
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001\SMTP Display Name
然後,蠕蟲會從 Microsoft Windows 地址簿以及 .dbx、.wab、.mbx、.eml 和 .mdb 檔案中獲得電子郵件地址,並將自身傳送到這些地址。該電子郵件具有下列特徵:
主題:Re: Your password!
正文:
ATTENTION!
You can access
very important
information by
this password
DO NOT SAVE
password to disk
use your mind
now press
cancel
附屬檔案:
Decrypt-password.exe
Password.txt
注意:附屬檔案 Decrypt-password.exe 是蠕蟲的副本,是用 UPX 和 PE-Pack 打包的,大小約為 48 KB。第二個附屬檔案 Password.txt, 是一個文本檔案,其長度約為 93 個位元組。Password.txt 本身並不帶毒,因此 Symantec 防病毒產品不會檢測到該檔案。但是,如果計算機感染了 W32.Frethem.K@mm 蠕蟲,應該手動刪除該檔案。
蠕蟲通過電子郵件到達目標計算機後,會利用 IFRAME 漏洞和 MIME 漏洞。通過這些漏洞,可以在讀取甚至是在預覽檔案時執行病毒。有關 MIME 漏洞的信息和修補程式,請訪問:http://www.microsoft.com/technet/security/bulletin/MS01- 020.asp。
蠕蟲還會創建“IEXPLORE_MUTEX_AABBCCDDEEFF”互斥。此互斥僅允許在記憶體中執行一個蠕蟲實例。
休眠數小時之後,蠕蟲會將自身複製到 C:\Windows\All Users\Start Menu\Programs\Startup\Setup.exe,這樣,每次啟動 Windows 時都會執行此蠕蟲。

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個和多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
注意:以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 更新病毒定義,運行完整的系統掃描。刪除所有被檢測為 W32.Frethem.K@mm 的檔案。
2. 刪除下列值
Task Bar
該值位於註冊表鍵
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
有關如何完成此操作的詳細信息,請參閱下列指導。

清除

1. 獲得最新的病毒定義。可通過兩種方法獲得:
o 運行 LiveUpdate,這是獲得病毒定義最簡便的方法。這些病毒定義經過 Symantec 安全回響中心的全面質量監控檢測,如果未遇重大病毒爆發情況,會每周在 LiveUpdate 伺服器上發布一次(一般為星期三)。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義 (LiveUpdate) 行。
o 使用“智慧型更新程式”下載病毒定義,“智慧型更新程式”病毒定義已經過 Symantec 安全回響中心的全面質量監控檢測,會在工作日(周一至周五,美國時間)發布。必須從 Symantec 安全回響中心 Web 站點下載病毒定義,並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義,請見本說明頂部的病毒定義(智慧型更新程式)行。
“智慧型更新程式” 病毒定義可從此處獲得。有關如何從 Symantec 安全回響中心 Web 站點下載和安裝“智慧型更新程式”病毒定義的詳細指導,請單擊此處。
2. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
o Symantec 企業版防病毒產品:請閱讀文檔:如何確定 Symantec 企業版防病毒產品是否已設定為掃描所有檔案。
3. 運行完整的系統掃描。
4. 刪除所有被檢測為 W32.Frethem.K@mm 的檔案。
注意:如果 NAV 報告不能刪除受感染檔案,必須關閉計算機,關掉電源,等待 30 秒。然後以安全模式重新啟動計算機,並再次運行掃描。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機(英文)。
從註冊表刪除值:
警告:Symantec 強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改,可能導致永久性數據丟失或檔案損壞。請只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。出現“運行”對話框。
2. 鍵入 regedit,然後單擊“確定”。“註冊表編輯器”打開。
3. 導航至下列鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除下列值:
Task Bar
5. 單擊“註冊表”,然後單擊“退出”。
6.描述者: Douglas Knowles
check!

熱門詞條

聯絡我們