病毒信息
據報告,W32.Klez.H@mm 會出現在下列推廣 Symantec 防毒工具的電子郵件中。Symantec 從不主動提供電子郵件,應將其附屬檔案刪除。
主題:W32.Klez removal tools
正文:
W32.Klez is a dangerous virus that spread through email.
Symantec give you the W32.Klez removal tools
For more information,please visit
附屬檔案:Install.exe
Novell 用戶請注意
Novell 不會直接受到攻擊,但在 Windows 下運行的 Novell
客戶端可以訪問 Novell 伺服器並從這裡執行該檔案(使用登錄
腳本或其他方法),使病毒得以更進一步的傳播。
病毒定義(每周 LiveUpdate?) 2002 年 4 月 17 日。
病毒定義(智慧型更新程式) 2002 年 4 月 17 日。
病毒危害
廣度級別: Low(低)
感染數量: More than 1000 (1000以上)
站點數量: More than 10(10個以上)
地理位置分布: High (高)
威脅抑制: Moderate (中等)
清除: Difficult (困難)
損壞級別: Medium (中等)
有效負載: This worm infects executables, by creating a hidden copy of the original host file, and then by overwriting the original file with itself. The hidden copy is encrypted, but contains no viral data. The name of the hidden file is the same as the original fi
大規模傳送電子郵件: This worm searches the Windows address book, the ICQ database, and local files for email addresses. The worm sends an email message to these addresses with itself as an attachment.
泄露機密信息: The worm randomly chooses a file from the machine to send with the worm to recipients. So, the files with the extensions: ".mp8," ".txt," ".htm," ".html," ".wab," ".asp," ".doc," ".rtf," ".xls," ".jpg," ".cpp," ".pas," ".mpg," ".mpeg," ".bak," ".mp3," or
分發級別: High (高)
電子郵件的主題: Random (隨機)
附屬檔案名稱: Random (隨機)
病毒行為
1. 它將其自身複製到 \%System%\Wink<random characters>.exe。注意:%System% 是一個變數。該蠕蟲會找到 Windows 的
系統資料夾(默認位置是 C:\Windows\System 或 C:\Winnt\System32),然後將自身複製到該位置。
2. 它會將值Wink<random characters> %System%\Wink<random characters>.exe
添加到註冊表鍵HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
或創建註冊表鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Wink[random characters]
並向該子鍵插入值,以使蠕蟲在您啟動 Windows 時執行。
3. 該
蠕蟲嘗試通過停止所有活動的進程來禁用使用中的病毒掃描程式和某些以前分發的蠕蟲(如 W32.Nimda 和 CodeRed)。該
蠕蟲刪除
防病毒產品所用的啟動註冊表鍵並刪除校驗和
資料庫檔案,其中包括:
Anti-Vir.dat
Chklist.dat
Chklist.ms
Chklist.cps
Chklist.tav
Ivb.ntz
Smartchk.ms
Smartchk.cps
Avgqt.dat
Aguard.dat
* 具有雙重擴展名的隨機檔案名稱。例如, Filename.txt.exe。
* 具有雙重擴展名的 .rar 存檔檔案。例如,Filename.txt.rar。
延伸閱讀
危害郵件
該
蠕蟲搜尋 Windows 通信簿、ICQ 資料庫和本地檔案查找電子郵件地址。它會向這些地址傳送以其自身作為附屬檔案的電子郵件訊息。它包含它自己的 SMTP 引擎並嘗試猜測可用的 SMTP 伺服器。例如,如果該
蠕蟲遇到了地址
[email protected],它將嘗試通過伺服器 smtp.abc123.com 傳送電子郵件。
主題、正文和附屬檔案檔案名稱稱都是隨機的。“發件人”的地址也是從受感染的計算機上找到的電子郵件地址中隨機選擇使用的。
該
蠕蟲將搜尋具有以下擴展名的檔案來查找電子郵件地址:
單擊箭頭打開/關閉清單
mp8
.exe
.scr
.pif
.bat
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
除了
蠕蟲附屬檔案,它還會附加一個該計算機上的某個隨機檔案。該檔案將具有以下任一擴展名:
單擊箭頭打開/關閉清單
mp8
.txt
.htm
.html
.wab
.asp
.doc
.rtf
.xls
.jpg
.cpp
.pas
.mpg
.mpeg
.bak
.mp3
.pdf
因此,此類電子郵件訊息會有兩個附屬檔案;第一個是蠕蟲,第二個是隨機選擇的檔案。
該
蠕蟲傳送的電子郵件訊息由隨機的字元串組成。主題會為下列任意一個:
單擊箭頭打開/關閉清單
Worm Klez.E immunity
Undeliverable mail--"[隨機詞語]"
Returned mail--"[隨機詞語]"
a [Random word] [隨機詞語] game
a [Random word] [隨機詞語] tool
a [Random word] [隨機詞語] website
a [Random word] [隨機詞語] patch
[隨機詞語] removal tools
how are you
let's be friends
darling
so cool a flash,enjoy it
your password
honey
some questions
please try again
welcome to my hometown
the Garden of Eden
introduction on ADSL
meeting notice
questionnaire
congratulations
sos!
japanese girl VS playboy
look,my beautiful girl friend
eager to see you
spice girls' vocal concert
japanese lass' sexy pictures
其中,“隨機詞語”會為下列任意一個:
new
funny
nice
humour
excite
good
powful
WinXP
IE 6.0
W32.Elkern
W32.Klez.E
Symantec
Mcafee
F-Secure
Sophos
Trendmicro
Kaspersky
電子郵件訊息的正文也是隨機編寫的。
郵件偽裝
該
蠕蟲經常使用稱為“偽裝”的技術。當它執行它的電子郵件例程,它可以使用在受感染的計算機上隨機選擇的地址作為“發件人”地址。在眾多的案例中,未受感染的計算機用戶都被抱怨,向其他人傳送了受感染的訊息。
Linda Anderson 使用的計算機感染了 W32.Klez.H@mm。Linda 未使用
防病毒程式或沒有最新的病毒定義。當 W32.Klez.H@mm 執行其電子郵件例程時,它會找到 Harold Logan 的地址。它將 Harold 的電子郵件地址插入受感染訊息的“發件人”部分,隨後將其傳送給 Janet Bishop。之後,Janet 聯絡 Harold 並抱怨它傳送給她了一個受感染的訊息,但當 Harold 掃描他的計算機時,Norton AntiVirus 並未如願檢測到任何問題,這是因為他的計算機並未受到感染。如果您使用最新版的 Norton AntiVirus 並且具有最新的病毒定義,並且設定為掃描所有檔案的 Norton AntiVirus 進行的全面系統掃描未發現任何問題,則您可以肯定您的計算機沒有感染該
蠕蟲。
該訊息可能會偽裝成為免疫工具。此類假訊息有一個版本如下:
Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.
如果在未安裝補丁程式的 Microsoft Outlook 或 Outlook Express 中打開,該附屬檔案會自動執行。有關該漏洞的信息及補丁程式可在以下位置找到。該蠕蟲將 W32.Elkern.4926 作為一個具有隨機名稱的檔案插入 \%Program Files% 資料夾並執行它。注意:%Program Files% 是一個變數。蠕蟲會定位 \Program Files 資料夾(默認位置是 C:\Program Files),再將病毒複製到此位置。
防範建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
配置
電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些
瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
防毒工具
Symantec 已提供了消除 W32.Klez 和 W32.ElKern 所有已知變種所造成感染的工具。單擊這裡以獲得該工具。 這是殺除這些蠕蟲的最簡便方法,應首先嘗試此方法。
有關 W32.Klez.gen@mm 檢測的注意事項:
W32.Klez.gen@mm 是檢測 W32.Klez 變種的普通程式。感染了 W32.Klez.gen@mm 的計算機大多也暴露在 W32.Klez.E@mm 或 W32.Klez.H@mm 之下。如果您的計算機被檢測出感染了 W32.Klez.gen@mm,請下載和運行該工具。在多數情況下,該工具可以消除此類感染。
防毒步驟
第一, 下載病毒定義:使用“智慧型更新程式”下載病毒定義。並將檔案保存到 Windows 桌面。這是必須執行的第一步操作,它確保您在後續的防毒過程中具有最新的病毒定義。
第二,以安全模式重新啟動計算機:1. 關閉計算機,關掉電源。等待 30 秒。請不要跳過此步驟。2. 您必須最先執行該步驟。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。請根據您的作業系統閱讀相應的文檔。3. 編輯註冊表。必須編輯鍵 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 並在記下 wink 檔案的確切名稱後刪除 wink[random characters].exe 子鍵。警告:強烈推薦在作任何更改前備份系統註冊表。如果對註冊表進行了不正確的更改,可能導致數據永久丟失或檔案損壞。請確保只修改指定的鍵。繼續操作之前,請參閱文檔:如何備份 Windows 註冊表。
第三,1. 單擊“開始”,然後單擊“運行”。出現“運行”對話框。2. 鍵入 regedit,然後單擊“確定”。將打開“註冊表編輯器”。3. 導航至下列鍵:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services;4. 在左窗格中 \Services 鍵下,查找以下子鍵:\Wink[random characters]。5. 記下 Wink[random characters].exe 檔案的確切檔案名稱。6. 刪除 Wink[random characters] 子鍵。7. 導航至下列鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run;8. 在右窗格中,查找以下值,如果找到請將其刪除:Wink[random characters] %System%\Wink[random characters].exe;WQK %System%\Wqk.exe ;基於 Windows 2000/XP 計算機上可能不存在這些值,但務必進行檢查。9. 單擊“註冊表”,然後單擊“退出”。
第四,將 Windows 配置為顯示所有檔案:1. 請不要跳過這些步驟。2. 啟動 Windows 資源管理器。3. 單擊“工具”
選單,然後單擊“資料夾選項”。4. 單擊“查看”選項卡。5. 取消選中“隱藏已知檔案類型的擴展名”。6. 取消選中“隱藏受保護的作業系統檔案”,然後在“
隱藏檔案和資料夾”下單擊“顯示所有檔案和資料夾”。7. 單擊“套用”,然後單擊“確定”。
第五, 刪除實際的 Wink[random characters] 檔案:使用 Windows 資源管理器,打開 C:\Winnt\System 資料夾並找到 Wink[random characters].exe 檔案。(由於系統設定,.exe 擴展名可能不顯示。)如果未將 Windows 安裝到 C:\Windows,請在適當的資料夾中查找該檔案。
第六,清空資源回收筒:用滑鼠右鍵單擊 Windows 桌面的“資源回收筒”圖示,然後單擊“清空資源回收筒”。
第七,運行智慧型更新程式:雙擊在步驟 1 中下載的檔案。出現提示時,單擊“是”或“確定”。
第八,重新啟動計算機:關閉計算機,關掉電源。等待 30 秒,然後重新啟動。警告:這一步非常重要。如果不遵守規定,會再次感染病毒。讓計算機正常啟動。如果檢測到有檔案感染了 W32.Klez.H@mm 或 W32.Klez.gen@mm,請將其隔離。您找到的檔案中可能包含 Luall.exe、Rescue32.exe 和 Nmain.exe。
第九,從命令行使用 Norton AntiVirus (NAV) 進行掃描:由於某些 NAV 檔案遭到蠕蟲的破壞,所以必須從命令行進行掃描。注意:以下指導僅適用於 NAV 單機版。檔案 Navw32.exe 不是 NAV 企業版(如 NAVCE)的一部分。NAVCE 的命令行掃描程式(即 Vpscan.exe)不會殺除蠕蟲。1. 單擊“開始”,然後單擊“運行”。2. 鍵入(或複製並貼上)下列內容,然後單擊“確定”:NAVW32.EXE /L /VISIBLE。3. 運行掃描。隔離檢測到的其他檔案。
第十,重新安裝 NAV:如果在 Windows XP 上使用 NAV 2002,不是在所有系統上都可能。但您可以嘗試以下方法:打開“
控制臺”,雙擊“管理工具”,然後雙擊“服務”。從列表選擇 Windows Installer。單擊“操作”,並單擊“啟動”。
第十一, 重新啟動計算機並再次掃描:1. 關閉計算機,關掉電源。等待 30 秒,然後重新啟動。警告:這一步非常重要。如果不遵守規定,會再次感染病毒。2. 運行 LiveUpdate 並下載最新的病毒定義。3. 啟動 Norton AntiVirus (NAV),並確保將 NAV 配置為掃描所有檔案。有關如何完成此操作的指導,請參閱文檔:如何配置 Norton AntiVirus 以掃描所有檔案。4. 運行完整的系統掃描。隔離所有被檢測到受 W32.Klez.H@mm 或 W32.Klez.gen@mm 感染的檔案。