W32.Gaobot.gen!poly是企圖通過使用易破解密碼的網路共享傳播、使攻擊者能夠使用預定的IRC信道訪問受感染計算機的蠕蟲。感染系統有:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP。
基本介紹
- 中文名:W32.Gaobot.gen!poly
- 發現時間:2004 年 3 月 19 日
- 更新時間:2007 年 2 月 13 日 12:23:10 PM
- 類型::Worm
- 感染長度:278,528 bytes
- 傳播途徑:網路共享傳播
簡介,發現,更新,感染長度,多漏洞傳播,DCOM RPC 漏洞,RPC 定位器漏洞,WebDav 漏洞,注意,防護,威脅評估,廣度,損壞,分發,建議,禁用並刪除不需要的服務,始終安裝最新的補丁程式,強制執行密碼策略,教育員工不要打開意外收到的附屬檔案,掃描刪除受感染檔案,
簡介
發現
2004 年 3 月 19 日
更新
2007 年 2 月 13 日 12:23:10 PM
別名: W32.HLLW.Polybot, Phatbot, W32/Polybot.l!irc [McAfee], WORM_AGOBOT .HM [Trend], Backdoor.Agobot . hm [Kaspersky]
類型: Worm
感染長度
278,528 bytes
多漏洞傳播
該蠕蟲使用多個漏洞進行傳播,其中包括:
DCOM RPC 漏洞
* DCOM RPC 漏洞(在 Microsoft 安全公告 MS03-026 中介紹),使用 TCP 連線埠 135 。
RPC 定位器漏洞
* RPC 定位器漏洞(在 Microsoft 安全公告 MS03-001 中介紹),使用 TCP 連線埠 445。
WebDav 漏洞
* WebDav 漏洞(在 Microsoft 安全公告 MS03-007 中介紹),使用 TCP 連線埠 80。
注意
* 日期為 2004 年 3 月 24 日之前的快速發布定義可以將該威脅檢測為 W32.HLLW.Polybot。
* 2004 年 2 月 27 日之後、2004 年 3 月 19 日之前發布的病毒定義將該威脅檢測為 W32.HLLW.Gaobot.gen。
防護
* 病毒定義(每周 LiveUpdate™) 2004 年 3 月 24 日
* 病毒定義(智慧型更新程式) 2004 年 3 月 19 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: 50 - 999
* 站點數量: More than 10
* 地理位置分布: Low
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Medium
* 泄露機密信息: Allows unauthorized remote access.
* 危及安全設定: Terminates antivirus and firewall processes.
分發
* 分發級別: Medium
* 連線埠: TCP ports 135, 445, 80
* 共享驅動器: Attempts to copy itself to network shares with weak passwords.
W32.Gaobot.gen!poly 運行時會執行下列操作:
1. 將其自身複製為下列檔案之一:
* %System%\soundman.exe
* %System%\confgldr.exe
注意:%System% 是一個變數。蠕蟲會找到 System 資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
2. 將下列值之一:
* "^`d}qZxu" = "~`d}qzxu3zYF"
* "Configuration Loader"="confgldr.exe"
添加到以下註冊表鍵:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
這樣,W32.Gaobot.gen!poly 便可在 Windows 啟動時運行。
3. 使用以下任一名稱為該蠕蟲創建服務,並將其設定為在開機時自動運行:
* Configuration Loader
* SoundMan
4. 隱藏所有包含單詞“soun”的檔案。
5. 將以下行添加到 %System%\drivers\etc\hosts 檔案:
6. 使用它自己的 IRC客戶端連線預定義的 IRC 信道,並監聽命令。
7. 允許攻擊者遠程控制受感染的計算機並執行以下任意操作:
* 下載並執行檔案
* 竊取系統信息
* 獲取電子郵件地址
* 竊取各遊戲的 CD 密鑰
8. 利用以下漏洞嘗試傳播到其他系統:
* DCOM RPC 漏洞(在 Microsoft 安全公告 MS03-026 中介紹),使用 TCP 連線埠 135 。
* RPC 定位器漏洞(在 Microsoft 安全公告 MS03-001 中介紹),使用 TCP 連線埠 445。
* WebDav 漏洞(在 Microsoft 安全公告 MS03-007 中介紹),使用 TCP 連線埠 80。
9. 探查以下共享:
* c$
* print$
* c
* d$
* e$
* admin$
使用以下用戶名和密碼以及使用 NetUserEnum ( ) 找到的所有用戶名:
用戶
* <empty>
* a
* aaa
* abc
* admin
* Administrador
* administrador
* Administrateur
* administrator
* Administrat?
* admins
* asdf
* computer
* Convidado
* Coordinatore
* database
* Default
* Dell
* Gast
* Guest
* home
* Inviter
* kanri
* kanri-sha
* login
* mary
* mgmt
* mysql
* OEM
* Ospite
* Owner
* owner
* OWNER
* pc
* qwer
* root
* server
* Standard
* student
* teacher
* temp
* Test
* test
* User
* user
* Verwalter
* win
* wwwadmin
* x
* xp
* xyz
密碼:
* 0
* 1
* 7
* 12
* 69
* 110
* 111
* 123
* 666
* 1234
* 2002
* 2003
* 2004
* 2600
* 12345
* 54321
* 111111
* 121212
* 123123
* 123456
* 654321
* 1234567
* 11111111
* 12345678
* 88888888
* 123456789
* !@#$
* !@#$%
* !@#$%^
* !@#$%^&
* !@#$%^&*
* 1234qwer
* 123abc
* 123asd
* 123qwe
* a
* aaa
* abc
* abc123
* abcd
* ACCESS
* admin
* Admin
* admin123
* Administrador
* administrador
* Administrateur
* ADMINISTRATOR
* administrator
* admins
* alpha
* asdf
* asdfgh
* asdfghjkl
* ASP
* baby
* backdoor
* BACKUP
* BOX
* Box
* box
* changeme
* CNN
* computer
* Coordinatore
* crash
* database
* Default
* devil
* dude
* enable
* feds
* fish
* foobar
* fucked
* gay
* god
* godblessyou
* hax
* home
* homework
* idiot
* ihavenopass
* Internet
* kids
* leet
* linux
* LOCAL
* login
* Login
* lol
* love
* metal
* mybaby
* mybox
* mypass
* mypc
* noob
* oracle
* Ospite
* own
* owned
* owner
* pass
* passwd
* PASSWD
* passwd
* password
* Password
* password123
* pat
* patrick
* pc
* penis
* PHP
* poiuytrewq
* porn
* private
* pussy
* pw
* pwd
* pwned
* qwer
* qwerty
* qwertyuiop
* r00t
* red123
* ROOT
* root
* rooted
* school
* secret
* secrets
* SERVER
* server
* sex
* share
* student
* super
* superman
* supersecret
* sybase
* SYSTEM
* teacher
* TEMP
* temp
* TEST
* test
* test123
* UNIX
* user
* vagina
* Verwalter
* werty
* wh0re
* whore
* win
* windows2k
* windows98
* windowsME
* WindowsXP
* windoze
* work
* wwwadmin
* x
* xp
* xxx
* xxyyzz
* yxcv
* z
* zxcv
* zxcvbnm
10. 通過上述漏洞,將自身複製到任何受感染的計算機。
* _AVP32.EXE
* _AVPCC.EXE
* _AVPM.EXE
* ACKWIN32.EXE
* ADAWARE.EXE
* ADVXDWIN.EXE
* AGENTSVR.EXE
* AGENTW.EXE
* ALERTSVC.EXE
* ALEVIR.EXE
* ALOGSERV.EXE
* AMON9X.EXE
* ANTI-TROJAN.EXE
* ANTIVIRUS.EXE
* ANTS.EXE
* APIMONITOR.EXE
* APLICA32.EXE
* APVXDWIN.EXE
* ARR.EXE
* ATCON.EXE
* ATGUARD.EXE
* ATRO55EN.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AU.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTO-PROTECT.NAV80TRY.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVCONSOL.EXE
* AVE32.EXE
* AVGCC32.EXE
* AVGCTRL.EXE
* AVGNT.EXE
* AVGSERV.EXE
* AVGSERV9.EXE
* AVGUARD.EXE
* AVGW.EXE
* AVKPOP.EXE
* AVKSERV.EXE
* AVKSERVICE.EXE
* AVKWCTl9.EXE
* AVLTMAIN.EXE
* AVNT.EXE
* AVP.EXE
* AVP32.EXE
* AVPCC.EXE
* AVPDOS32.EXE
* AVPM.EXE
* AVPTC32.EXE
* AVPUPD.EXE
* AVSCHED32.EXE
* AVSYNMGR.EXE
* AVWIN95.EXE
* AVWINNT.EXE
* AVWUPD.EXE
* AVWUPD32.EXE
* AVWUPSRV.EXE
* AVXMONITOR9X.EXE
* AVXMONITORNT.EXE
* AVXQUAR.EXE
* BACKWEB.EXE
* BARGAINS.EXE
* BD_PROFESSIONAL.EXE
* BEAGLE.EXE
* BELT.EXE
* BIDEF.EXE
* BIDSERVER.EXE
* BIPCP.EXE
* BIPCPEVALSETUP.EXE
* BISP.EXE
* BLACKD.EXE
* BLACKICE.EXE
* BLSS.EXE
* BOOTCONF.EXE
* BOOTWARN.EXE
* BORG2.EXE
* BPC.EXE
* BRASIL.EXE
* BS120.EXE
* BUNDLE.EXE
* BVT.EXE
* CCAPP.EXE
* CCEVTMGR.EXE
* CCPXYSVC.EXE
* CDP.EXE
* CFD.EXE
* CFGWIZ.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFINET.EXE
* CFINET32.EXE
* Claw95.EXE
* CLAW95CF.EXE
* CLEAN.EXE
* CLEANER.EXE
* CLEANER3.EXE
* CLEANPC.EXE
* CLICK.EXE
* CMD32.EXE
* CMESYS.EXE
* CMGRDIAN.EXE
* CMON016.EXE
* CONNECTIONMONITOR.EXE
* CPD.EXE
* CPF9X206.EXE
* CPFNT206.EXE
* CTRL.EXE
* CV.EXE
* CWNB181.EXE
* CWNTDWMO.EXE
* DATEMANAGER.EXE
* DCOMX.EXE
* DEFALERT.EXE
* DEFSCANGUI.EXE
* DEFWATCH.EXE
* DEPUTY.EXE
* DIVX.EXE
* DLLCACHE.EXE
* DLLREG.EXE
* DOORS.EXE
* DPF.EXE
* DPFSETUP.EXE
* DPPS2.EXE
* DRWATSON.EXE
* DRWEB32.EXE
* DRWEBUPW.EXE
* DSSAGENT.EXE
* DVP95.EXE
* DVP95_0.EXE
* ECENGINE.EXE
* EFPEADM.EXE
* EMSW.EXE
* ENT.EXE
* ESAFE.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ESCANV95.EXE
* ESPWATCH.EXE
* ETHEREAL.EXE
* ETRUSTCIPE.EXE
* EVPN.EXE
* EXANTIVIRUS-CNET.EXE
* EXE.AVXW.EXE
* EXPERT.EXE
* EXPLORE.EXE
* F-AGNT95.EXE
* FAMEH32.EXE
* FAST.EXE
* FCH32.EXE
* FIH32.EXE
* FINDVIRU.EXE
* FIREWALL.EXE
* FLOWPROTECTOR.EXE
* FNRB32.EXE
* FPROT.EXE
* F-PROT.EXE
* F-PROT95.EXE
* FP-WIN.EXE
* FP-WIN_TRIAL.EXE
* FRW.EXE
* FSAA.EXE
* FSAV.EXE
* FSAV32.EXE
* FSAV530STBYB.EXE
* FSAV530WTBYB.EXE
* FSAV95.EXE
* FSGK32.EXE
* FSM32.EXE
* FSMA32.EXE
* FSMB32.EXE
* F-STOPW.EXE
* GATOR.EXE
* GBMENU.EXE
* GBPOLL.EXE
* GENERICS.EXE
* GMT.EXE
* GUARD.EXE
* GUARDDOG.EXE
* HACKTRACERSETUP.EXE
* HBINST.EXE
* HBSRV.EXE
* HIJACKTHIS.EXE
* HOTACTIO.EXE
* HOTPATCH.EXE
* HTLOG.EXE
* HTPATCH.EXE
* HWPE.EXE
* HXDL.EXE
* HXIUL.EXE
* IAMAPP.EXE
* IAMSERV.EXE
* IAMSTATS.EXE
* IBMASN.EXE
* IBMAVSP.EXE
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IDLE.EXE
* IEDLL.EXE
* IEDRIVER.EXE
* IEXPLORER.EXE
* IFACE.EXE
* IFW2000.EXE
* INETLNFO.EXE
* INFUS.EXE
* INFWIN.EXE
* INIT.EXE
* INTDEL.EXE
* INTREN.EXE
* IOMON98.EXE
* IPARMOR.EXE
* IRIS.EXE
* ISASS.EXE
* ISRV95.EXE
* ISTSVC.EXE
* JAMMER.EXE
* JDBGMRG.EXE
* JEDI.EXE
* KAVLITE40ENG.EXE
* KAVPERS40ENG.EXE
* KAVPF.EXE
* KAZZA.EXE
* KEENVALUE.EXE
* KERIO-PF-213-EN-WIN.EXE
* KERIO-WRL-421-EN-WIN.EXE
* KERIO-WRP-421-EN-WIN.EXE
* KERNEL32.EXE
* KILLPROCESSSETUP161.EXE
* LAUNCHER.EXE
* LDNETMON.EXE
* LDPRO.EXE
* LDPROMENU.EXE
* LDSCAN.EXE
* LNETINFO.EXE
* LOADER.EXE
* LOCALNET.EXE
* LOCKDOWN.EXE
* LOCKDOWN2000.EXE
* LOOKOUT.EXE
* LORDPE.EXE
* LSETUP.EXE
* LUALL.EXE
* LUAU.EXE
* LUCOMSERVER.EXE
* LUINIT.EXE
* LUSPT.EXE
* MAPISVC32.EXE
* MCAGENT.EXE
* MCMNHDLR.EXE
* MCSHIELD.EXE
* MCTOOL.EXE
* MCUPDATE.EXE
* MCVSRTE.EXE
* MCVSSHLD.EXE
* MD.EXE
* MFIN32.EXE
* MFW2EN.EXE
* MFWENG3.02D30.EXE
* MGAVRTCL.EXE
* MGAVRTE.EXE
* MGHTML.EXE
* MGUI.EXE
* MINILOG.EXE
* MMOD.EXE
* MONITOR.EXE
* MOOLIVE.EXE
* MOSTAT.EXE
* MPFAGENT.EXE
* MPFSERVICE.EXE
* MPFTRAY.EXE
* MRFLUX.EXE
* MSAPP.EXE
* MSBB.EXE
* MSBLAST.EXE
* MSCACHE.EXE
* MSCCN32.EXE
* MSCMAN.EXE
* MSCONFIG.EXE
* MSDM.EXE
* MSDOS.EXE
* MSIEXEC16.EXE
* MSINFO32.EXE
* MSLAUGH.EXE
* MSMGT.EXE
* MSMSGRI32.EXE
* MSSMMC32.EXE
* MSSYS.EXE
* MSVXD.EXE
* MU0311AD.EXE
* MWATCH.EXE
* N32SCANW.EXE
* NAV.EXE
* NAVAP.NAVAPSVC.EXE
* NAVAPSVC.EXE
* NAVAPW32.EXE
* NAVDX.EXE
* NAVENGNAVEX15.NAVLU32.EXE
* NAVLU32.EXE
* NAVNT.EXE
* NAVSTUB.EXE
* NAVW32.EXE
* NAVWNT.EXE
* NC2000.EXE
* NCINST4.EXE
* NDD32.EXE
* NEOMONITOR.EXE
* NEOWATCHLOG.EXE
* NETARMOR.EXE
* NETD32.EXE
* NETINFO.EXE
* NETMON.EXE
* NETSCANPRO.EXE
* NETSPYHUNTER-1.2.EXE
* NETSTAT.EXE
* NETUTILS.EXE
* NISSERV.EXE
* NISUM.EXE
* NMAIN.EXE
* NOD32.EXE
* NORMIST.EXE
* NORTON_INTERNET_SECU_3.0_407.EXE
* NOTSTART.EXE
* NPF40_TW_98_NT_ME_2K.EXE
* NPFMESSENGER.EXE
* NPROTECT.EXE
* NPSCHECK.EXE
* NPSSVC.EXE
* NSCHED32.EXE
* NSSYS32.EXE
* NSTASK32.EXE
* NSUPDATE.EXE
* NT.EXE
* NTRTSCAN.EXE
* NTVDM.EXE
* NTXconfig.EXE
* NUI.EXE
* NUPGRADE.EXE
* NVARCH16.EXE
* NVC95.EXE
* NVSVC32.EXE
* NWINST4.EXE
* NWSERVICE.EXE
* NWTOOL16.EXE
* OLLYDBG.EXE
* ONSRVR.EXE
* OPTIMIZE.EXE
* OSTRONET.EXE
* OTFIX.EXE
* OUTPOST.EXE
* OUTPOSTINSTALL.EXE
* OUTPOSTPROINSTALL.EXE
* PADMIN.EXE
* PANIXK.EXE
* PATCH.EXE
* PAVCL.EXE
* PAVPROXY.EXE
* PAVSCHED.EXE
* PAVW.EXE
* PCC2002S902.EXE
* PCC2K_76_1436.EXE
* PCCIOMON.EXE
* PCCNTMON.EXE
* PCCWIN97.EXE
* PCCWIN98.EXE
* PCDSETUP.EXE
* PCFWALLICON.EXE
* PCIP10117_0.EXE
* PCSCAN.EXE
* PDSETUP.EXE
* PENIS.EXE
* PERISCOPE.EXE
* PERSFW.EXE
* PERSWF.EXE
* PF2.EXE
* PFWADMIN.EXE
* PGMONITR.EXE
* PINGSCAN.EXE
* PLATIN.EXE
* POP3TRAP.EXE
* POPROXY.EXE
* POPSCAN.EXE
* PORTDETECTIVE.EXE
* PORTMONITOR.EXE
* POWERSCAN.EXE
* PPINUPDT.EXE
* PPTBC.EXE
* PPVSTOP.EXE
* PRIZESURFER.EXE
* PRMT.EXE
* PRMVR.EXE
* PROCDUMP.EXE
* PROCESSMONITOR.EXE
* PROCEXPLORERV1.0.EXE
* PROGRAMAUDITOR.EXE
* PROPORT.EXE
* PROTECTX.EXE
* PSPF.EXE
* PURGE.EXE
* PUSSY.EXE
* PVIEW95.EXE
* QCONSOLE.EXE
* QSERVER.EXE
* RAPAPP.EXE
* RAV7.EXE
* RAV7WIN.EXE
* RAV8WIN32ENG.EXE
* RAY.EXE
* RB32.EXE
* RCSYNC.EXE
* REALMON.EXE
* REGED.EXE
* REGEDIT.EXE
* REGEDT32.EXE
* RESCUE.EXE
* RESCUE32.EXE
* RRGUARD.EXE
* RSHELL.EXE
* RTVSCAN.EXE
* RTVSCN95.EXE
* RULAUNCH.EXE
* RUN32DLL.EXE
* RUNDLL.EXE
* RUNDLL16.EXE
* RUXDLL32.EXE
* SAFEWEB.EXE
* SAHAGENT.EXE
* SAVE.EXE
* SAVENOW.EXE
* SBSERV.EXE
* SC.EXE
* SCAM32.EXE
* SCAN32.EXE
* SCAN95.EXE
* SCANPM.EXE
* SCRSCAN.EXE
* SCRSVR.EXE
* SCVHOST.EXE
* SD.EXE
* SERV95.EXE
* SERVICE.EXE
* SERVLCE.EXE
* SERVLCES.EXE
* SETUP_FLOWPROTECTOR_US.EXE
* SETUPVAMEEVAL.EXE
* SFC.EXE
* SGSSFW32.EXE
* SH.EXE
* SHELLSPYINSTALL.EXE
* SHN.EXE
* SHOWBEHIND.EXE
* SMC.EXE
* SMS.EXE
* SMSS32.EXE
* SOAP.EXE
* SOFI.EXE
* SPERM.EXE
* SPF.EXE
* SPHINX.EXE
* SPOLER.EXE
* SPOOLCV.EXE
* SPOOLSV32.EXE
* SPYXX.EXE
* SREXE.EXE
* SRNG.EXE
* SS3EDIT.EXE
* SSG_4104.EXE
* SSGRATE.EXE
* ST2.EXE
* START.EXE
* STCLOADER.EXE
* SUPFTRL.EXE
* SUPPORT.EXE
* SUPPORTER5.EXE
* SVC.EXE
* SVCHOSTC.EXE
* SVCHOSTS.EXE
* SVSHOST.EXE
* SWEEP95.EXE
* SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
* SYMPROXYSVC.EXE
* SYMTRAY.EXE
* SYSEDIT.EXE
* SYSTEM.EXE
* SYSTEM32.EXE
* SYSUPD.EXE
* TASKMG.EXE
* TASKMO.EXE
* TASKMON.EXE
* TAUMON.EXE
* TBSCAN.EXE
* TC.EXE
* TCA.EXE
* TCM.EXE
* TDS2-98.EXE
* TDS2-NT.EXE
* TDS-3.EXE
* TEEKIDS.EXE
* TFAK.EXE
* TFAK5.EXE
* TGBOB.EXE
* TITANIN.EXE
* TITANINXP.EXE
* TRACERT.EXE
* TRICKLER.EXE
* TRJSCAN.EXE
* TRJSETUP.EXE
* TROJANTRAP3.EXE
* TSADBOT.EXE
* TVMD.EXE
* TVTMD.EXE
* UNDOBOOT.EXE
* UPDAT.EXE
* UPDATE.EXE
* UPGRAD.EXE
* UTPOST.EXE
* VBCMSERV.EXE
* VBCONS.EXE
* VBUST.EXE
* VBWIN9X.EXE
* VBWINNTW.EXE
* VCSETUP.EXE
* VET32.EXE
* VET95.EXE
* VETTRAY.EXE
* VFSETUP.EXE
* VIR-HELP.EXE
* VIRUSMDPERSONALFIREWALL.EXE
* VNLAN300.EXE
* VNPC3000.EXE
* VPC32.EXE
* VPC42.EXE
* VPFW30S.EXE
* VPTRAY.EXE
* VSCAN40.EXE
* VSCENU6.02D30.EXE
* VSCHED.EXE
* VSECOMR.EXE
* VSHWIN32.EXE
* VSISETUP.EXE
* VSMAIN.EXE
* VSMON.EXE
* VSSTAT.EXE
* VSWIN9XE.EXE
* VSWINNTSE.EXE
* VSWINPERSE.EXE
* W32DSM89.EXE
* W9X.EXE
* WATCHDOG.EXE
* WEBDAV.EXE
* WEBSCANX.EXE
* WEBTRAP.EXE
* WFINDV32.EXE
* WGFE95.EXE
* WHOSWATCHINGME.EXE
* WIMMUN32.EXE
* WIN32.EXE
* WIN32US.EXE
* WINACTIVE.EXE
* WIN-BUGSFIX.EXE
* WINDOW.EXE
* WINDOWS.EXE
* WININETD.EXE
* WININIT.EXE
* WININITX.EXE
* WINLOGIN.EXE
* WINMAIN.EXE
* WINNET.EXE
* WINPPR32.EXE
* WINRECON.EXE
* WINSERVN.EXE
* WINSSK32.EXE
* WINSTART.EXE
* WINSTART001.EXE
* WINTSK32.EXE
* WINUPDATE.EXE
* WKUFIND.EXE
* WNAD.EXE
* WNT.EXE
* WRADMIN.EXE
* WRCTRL.EXE
* WSBGATE.EXE
* WUPDATER.EXE
* WUPDT.EXE
* WYVERNWORKSFIREWALL.EXE
* XPF202EN.EXE
* ZAPRO.EXE
* ZAPSETUP3001.EXE
* ZATUTOR.EXE
* ZONALM2601.EXE
* ZONEALARM.EXE
12. 嘗試刪除與其他蠕蟲相關的檔案和註冊表值。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
禁用並刪除不需要的服務
默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
始終安裝最新的補丁程式
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
強制執行密碼策略
複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
教育員工不要打開意外收到的附屬檔案
教育員工不要打開意外收到的附屬檔案,並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
以下指導適用於最新和最近的所有 Symantec 防病毒產品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品)。
1. 禁用系統還原 (Windows Me/XP)。
2. 以安全模式或 VGA 模式重新啟動計算機。
3. 還原該主機檔案。
4. 撤銷對註冊表的更改(刪除該蠕蟲添加的服務和 Run 鍵)。
5. 更新病毒定義。
6. 運行完整的系統掃描,並刪除所有檢測為 W32.HLLW.Polybot 的檔案。
有關每個步驟的詳細信息,請閱讀以下指導。
開始前的準備工作:
如果在運行 Windows NT/2000/XP,請務必執行或確保已執行了以下操作:
* 創建安全的密碼。該病毒會利用易破解的網路密碼。(全天候的 Internet 連線,如 DSL 或 Cable,易於受到此類攻擊。)
* 按照 Microsoft Microsoft 安全公告 MS03-026 介紹的方法修補 DCOM RPC 漏洞。
* 按照 Microsoft Microsoft 安全公告 MS03-007 介紹的方法修補 WebDav 漏洞。
1. 關閉「系統還原」(Windows Me/XP)
如果您使用的是 Windows Me 或 Windows XP,我們建議您暫時關閉「系統還原」。Windows Me/XP 使用這個預設啟用的功能,來還原您計算機上受損的檔案。如果病毒、蠕蟲或特洛伊木馬感染的計算機,「系統還原」可能會一併將計算機上的病毒、蠕蟲或特洛伊木馬備份起來。
Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此,防毒程式或是工具並無法移除「系統還原」數據夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,「系統還原」還是很有可能會將受感染的檔案一併還原至計算機中。
同時,病毒可能會偵測到「系統還原」數據夾里的威脅,即使您已移除該威脅亦然。
有關如何關閉「系統還原」的說明,請閱讀您的 Windows 檔案,或下列文章:
* 如何關閉或啟用 Windows Me「系統還原」。
* 如何關閉或啟用 Windows XP「系統還原」。
注意:當您全部完成了移除程式之後,並且確定威脅已經移除,請依循上述檔案中的指示重新啟用「系統還原」。
如需其它信息以及關閉 Windows Me「系統還原」的其它方法,請參閱 Microsoft 知識庫的文章「病毒防護工具無法清除 _Restore 資料夾中受感染的檔案」,文章識別碼 (Article ID):。
2. 以安全模式或 VGA 模式重新啟動計算機
關閉計算機,關掉電源。至少等候 30 秒,然後以安全模式或 VGA 模式重新啟動計算機。
* Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
* Windows NT 4 用戶:將計算機重啟到 VGA 模式。
3. 還原該主機檔案
以下指導討論了如何修復 Windows 主機檔案以使新增的名稱解析項不會禁止您訪問防毒廠商的網站。
1. 使用 Windows 資源管理器,在以下位置(如果存在)查找名為“hosts”的檔案:
* C:\Windows\System32\Drivers\Etc\hosts
* C:\Winnt\System32\Drivers\Etc\hosts
* D:\Windows\System32\Drivers\Etc\hosts
* D:\Winnt\System32\Drivers\Etc\hosts
2. 雙擊找到的每個 \hosts 檔案。
3. 當出現“打開方式”對話框時,滾動列表並選擇“記事本”。不要選中“始終使用該程式打開這些檔案 ... ”框。
4. 刪除該檔案中的下列行:
不要刪除以下行:
127.0.0.1 localhost
5. 保存該主機檔案。
4. 恢復對註冊表所做的變更
注意:對系統註冊表進行任何修改之前,賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯,嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示,請閱讀「如何備份 Windows 的註冊表」檔案。
1. 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
2. 鍵入 regedit
然後單擊“確定”。(將打開註冊表編輯器。)
3. 導航至以下鍵:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
4. 在右窗格中,刪除下列值:
"^`d}qZxu" = "~`d}qzxu3zYF"
"Configuration Loader"="confgldr.exe"
Video Process"="sysconf.exe"
5. 定位到下列鍵,然後將其刪除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoundMan
6. 退出註冊表編輯器。
7. 以標準模式重新啟動計算機。有關指導,請參閱文檔:如何以安全模式啟動計算機 中有關返回標準模式的部分。
5. 更新病毒定義檔案
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
掃描刪除受感染檔案
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案被 W32.Gaobot.gen!poly 感染,請單擊“刪除”。
描述者: Asuka Yamamoto