W32.Liac.A@mm

更新： 2007 年 2 月 13 日 11:49:22 AM

別名： W32.Liac@mm, WORM_LIAC.A [Trend], W32/Calil-A [Sophos], W32/Liac@MM [McAfee]

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

* 病毒定義（每周 LiveUpdate™） 2002 年 7 月 8 日

* 病毒定義（智慧型更新程式） 2002 年 7 月 8 日

威脅評估

* 廣度級別： Medium

* 感染數量： 50 - 999

* 站點數量： 0 - 2

* 地理位置分布： Low

* 威脅抑制： Easy

* 清除： Easy

損壞

* 損壞級別： Low

* 分發級別： High

* 電子郵件的主題： FW:FW: LILAC project video attach

* 附屬檔案名稱： LILAC_WHAT_A_WONDERFULNAME.avi.exe

* 附屬檔案大小： 12,208 bytes

執行 W32.Liac.A@mm 時，該蠕蟲會執行下列操作：

顯示下列訊息：

標題欄：Windows

訊息：Error54: Media Player not installed correctly

接著，它會試圖將自身複製到 Windows 臨時資料夾中。此操作是通過嘗試下列硬編碼資料夾名稱來完成的：

C:\Win98\Temp

C:\Win95\Temp

C:\Winnt\Temp

C:\Winme\Temp

C:\Winxp\Temp

C:\Windows\Temp

接著，此蠕蟲會在每次啟動 Windows 時執行，並試圖將下列值

Lilac

添加到註冊表鍵

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

注意：由於此蠕蟲的代碼中存在缺陷，以上部分或所有試圖執行的操作可能不會發生。

接著，此蠕蟲會試圖使用 Microsoft Outlook 向 Windows 通訊簿中的所有聯繫人傳送電子郵件。傳送的電子郵件將如下所示：

主題：FW:FW: LILAC project video attach

訊息：Things that the govt. dont want you to know

附屬檔案：LILAC_WHAT_A_WONDERFULNAME.avi.exe

此例程中存在一些缺陷。因此，在某些情況下，可能附加大小為 0 位元組的執行檔。在有些情況下，可能不附加任何附屬檔案。

最後，此蠕蟲會試圖添加或修改下列值：

RegisteredOwner xEnOcrAtEs

LegalNoticeCaption Owned by:

LegalNoticeText Owned by: xEnOcrAtEs

在下列註冊表鍵執行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

在某些情況下，此蠕蟲可能會顯示下列訊息：

Your PC is infected with LILAC viruys by: xEnOcrAtEs

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

更新病毒定義，運行完整的系統掃描，然後刪除所有被檢測為 W32.Liac.A@mm 的檔案

刪除下列值

Lilac

該值位於註冊表鍵

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

請更新病毒定義，運行完整的系統掃描，然後刪除所有被檢測為 W32.Liac.A@mm 的檔案。有關如何完成此操作的詳細信息，請閱讀下列指導。

掃描和刪除受感染檔案：

1. 獲得最新的病毒定義。可通過兩種方法獲得：

o 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。這些病毒定義經過賽門鐵克安全回響中心的全面質量監控檢測，如果未遇重大病毒爆發情況，會在每周的某個時間發布在 LiveUpdate 伺服器上（一般為星期三）。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義 (LiveUpdate) 行。

o 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義已經過 Symantec 安全回響中心的全面質量監控檢測，會在工作日（周一至周五，美國時間）發布。必須從 Symantec 安全回響中心 Web 站點下載病毒定義，並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義（智慧型更新程式）行。

“智慧型更新程式” 病毒定義可從此處獲得。有關如何從 Symantec 安全回響中心 Web 站點下載和安裝“智慧型更新程式”病毒定義的詳細指導，請單擊此處。

2. 啟動 Symantec 防病毒軟體，並確保已將其配置為掃描所有檔案。

o Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

o Symantec 企業版防病毒產品：請閱讀文檔：如何確定 Symantec 企業版防病毒產品是否已設定為掃描所有檔案。

3. 運行完整的系統掃描。

4. 如果有任何檔案被檢測為感染了 W32.Liac.A@mm，請單擊“刪除”。

從註冊表刪除值：

警告：Symantec 強烈建議在進行任何更改之前先備份註冊表。如果對註冊表進行了不正確的更改，可能導致永久性數據丟失或檔案損壞。請只修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表。

1. 單擊“開始”，然後單擊“運行”。出現“運行”對話框。

2. 鍵入 regedit，然後單擊“確定”。“註冊表編輯器”打開。

3. 導航至下列鍵：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除下列值：

Lilac

5. 單擊“註冊表”，然後單擊“退出”。

6.

描述者： Neal Hindocha