W32.Sobig.B@mm

發現： 2003 年 5 月 18 日

更新： 2007 年 2 月 13 日 12:06:19 PM

別名： W32.HLLW.Mankx@mm, W32/Palyh@MM [McAfee], W32/Palyh-A [Sophos], I-Worm.Palyh [KAV], WORM_PALYH.A [Trend], Win32.Palyh.A [CA]

類型: Worm

感染長度：52,898 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

電子郵件例程詳細信息

該電子郵件具有以下特徵：

主題：勸犁充主題行將為下列主題行之一：

* Your details

* Approved (Ref: 38446-263)

* Re: Approved (Ref: 3394-65467)

* Your password

* Re: My details

* Screensaver

* Cool screensaver

* Re: Movie

* Re: My application

郵件正文：All information is in the attached file.

附屬檔案：習記遷精附屬檔案名稱為下列名稱之一：

* your_details.pif

* ref-394755.pif

* approved.pif

* password.pif

* doc_details.pif

* screen_temp.pif

* screen_doc.pif

* movie28.pif

* application.pif

注意：

* 該蠕蟲將在 2003 年 5 月 31 日失效，因此其傳播的最後一天是 2003 年 5 月 30 日。

* 2003 年 5 月 19 日以前發紋廈棄洪布的病達霉譽毒定義可能將此威脅檢測為 W32.HLLW.Mankx@mm。

Symantec 安全回響承鞏辯中心已經創建了用來殺除 W32.Sobig.B@mm 的工具。單擊此處可獲取該工具。

防護

* 病毒定義（每周 LiveUpdate™） 2003 年 5 月 18 日

* 病夜背兆毒定義（智元臭能更新程式） 2003 年 5 月 18 日

威脅評估

廣度

* 廣度級別： Medium

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： Medium

* 威脅抑制： Easy

* 清除： Easy

損壞

* 損壞級別： Low

* 有效負載觸發器： Only activates on dates prior to 5/31/2003

* 大規模傳送電子郵件： Sends itself to e-mail addresses found on an infected machine

分發

* 分發級別： High

* 電子郵件的主題： Various

* 附屬檔案名稱： various, all with a .pif extension

* 附屬檔案大小： 52,898 bytes

* 共享驅動器： Attempts to copy itself to all the shared resources

當 W32.Sobig.B@mm 活動時，它將執行以下操作

1. 將其自身作為 %Windir%\msccn32.exe 進行複製。

注意：%Windir% 是一個變數。該蠕蟲找到 Windows 安裝資料夾（默認情況下，為 C:\Windows 或 C:\Winnt）並將自身複製到該位置。

2. 創建下列檔案：

* %Windir%\hnks.ini

* %Windir%\msdbrr.ini

3. 將值

"System Tray"="%Windir%\msccn32.exe"

添加到以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以便 W32.Sobig.B@mm 在您啟動 Windows 時運行。

4. 如果作業系統是 Windows NT/2000/XP，則該蠕蟲還會將值：

"System Tray"="%Windir%\msccn32.exe"

添加到以下註冊表鍵中：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. 枚舉網路資源並將其自身複製到以下資料夾：

* Windows\All Users\Start Menu\Programs\StartUp

* Documents and Settings\All Users\Start Menu\Programs\Startup

6. 嘗試從四個不同的 GeoCities 網頁下載數據。這些網頁的地址存儲在上述 .ini 檔案中。

該蠕蟲病毒也具有網路意識。它枚舉網路資源，並將自身複製到它能夠訪問的其他計算機上的下列資料夾中：

* Windows\All Users\Start Menu\Programs\StartUp

* Documents and Settings\All Users\Start Menu\Programs\Startup

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Sobig.B 防毒工具進行防毒

Symantec 安全回響中心已經創建了用來殺除 W32.Sobig.B@mm 的工具。這是消除此威脅的最簡便方法。單擊此處可獲取該工具。

手動防毒

作為使用該防毒工具的替代方法，您可以手動消除此威脅。

下列說明涉及所有當前和最新的 Symantec AntiVirus 產品，包括 Symantec AntiVirus 和 Norton AntiVirus 產品系列。

1. 更新病毒定義。

2. 對系統進行完整掃描，並刪除經檢測感染了 W32.Sobig.B@mm 的所有檔案。

3. 使用 Windows 查找或搜尋實用程式來查找並刪除檔案。

4. 刪除已經添加到註冊表的值。

有關上述每個步驟的詳細信息，請參閱下面的說明。

1. 更新病毒定義

Symantec 在將病毒定義發布到伺服器之前，會對所有病毒定義進行徹底測試，以確保其質量。可使用以下兩種方法獲取最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

2. 將計算機重啟到安全模式或者終止特洛伊木馬進程

Windows 95/98/Me

將計算機重啟到安全模式。所有 Windows 32-bit 作業系統，除了Windows NT，可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。

Windows NT/2000/XP

要終止特洛伊木馬進程：

1. 按一次 Ctrl+Alt+Del。

2. 單擊“任務管理器”。

3. 單擊“進程”選項卡。

4. d. 雙擊“映像名稱”列標題，按字母順序對進程排序。

5. 滾動列表並查找 iservc.exe。

6. 如果找到該檔案，則單擊此檔案，然後單擊“結束進程”。

7. 單擊“任務管理器”。

3. 掃描並刪除受感染的檔案

1. 啟動 Symantec 防病毒程式，並確保將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 對系統進行完整掃描。

3. 如果存在經檢測感染了 W32.Sobig.B@mm 的檔案，請單擊“刪除”。

4. 查找並刪除檔案

對於下列作業系統，按照說明操作：

* Windows 95/98/Me/NT/2000

1. 單擊“開始”，指向“查找”或“搜尋”，然後單擊“檔案或資料夾”。

2. 請確保將“搜尋範圍”設定為 (C:) 並選中“包含子資料夾”複選框。

3. 在“名稱”或“搜尋”框中，鍵入或複製並貼上檔案名稱：

hnks.ini msdbrr.ini

4. 單擊“開始查找”或“立即搜尋”。

5. 刪除顯示的檔案。

* Windows XP

1. 單擊“開始”，然後單擊“搜尋”。

2. 單擊“所有檔案和資料夾”。

3. 在“全部和部分檔案名稱稱”框中，鍵入或複製並貼上檔案名稱：

hnks.ini msdbrr.ini

4. 確保將“搜尋範圍”設定為“本地硬碟”或 (C:)。

5. 單擊“更多高級選項”。

6. 選中“搜尋系統資料夾”。

7. 選中“搜尋子資料夾”。

8. 單擊“搜尋”。

9. 刪除顯示的檔案。

5. 刪除註冊表中的值

警告：Symantec 強烈建議您在對註冊表進行任何更改之前，將註冊表備份。錯誤地更改註冊表可導致數據永久丟失或檔案被損壞。請僅修改指定的註冊表鍵。有關說明，請參閱文檔：如何備份 Windows 註冊表。

1. 單擊“開始”，然後單擊“運行”（將顯示“運行”對話框。）

2. 鍵入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

3. 導航至以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除以下值：

"System Tray"="%Windir%\msccn32.exe"

5. 如果作業系統是 Windows NT/2000/XP，請導航至以下註冊表鍵：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

6. 在右窗格中，刪除以下值：

"System Tray"="%Windir%\msccn32.exe"

7. 退出註冊表編輯器。

描述者： Douglas Knowles

* 清除： Easy

損壞

* 損壞級別： Low

* 有效負載觸發器： Only activates on dates prior to 5/31/2003

* 大規模傳送電子郵件： Sends itself to e-mail addresses found on an infected machine

分發

* 分發級別： High

* 電子郵件的主題： Various

* 附屬檔案名稱： various, all with a .pif extension

* 附屬檔案大小： 52,898 bytes

* 共享驅動器： Attempts to copy itself to all the shared resources

當 W32.Sobig.B@mm 活動時，它將執行以下操作

1. 將其自身作為 %Windir%\msccn32.exe 進行複製。

注意：%Windir% 是一個變數。該蠕蟲找到 Windows 安裝資料夾（默認情況下，為 C:\Windows 或 C:\Winnt）並將自身複製到該位置。

2. 創建下列檔案：

* %Windir%\hnks.ini

* %Windir%\msdbrr.ini

3. 將值

"System Tray"="%Windir%\msccn32.exe"

添加到以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以便 W32.Sobig.B@mm 在您啟動 Windows 時運行。

4. 如果作業系統是 Windows NT/2000/XP，則該蠕蟲還會將值：

"System Tray"="%Windir%\msccn32.exe"

添加到以下註冊表鍵中：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. 枚舉網路資源並將其自身複製到以下資料夾：

* Windows\All Users\Start Menu\Programs\StartUp

* Documents and Settings\All Users\Start Menu\Programs\Startup

6. 嘗試從四個不同的 GeoCities 網頁下載數據。這些網頁的地址存儲在上述 .ini 檔案中。

該蠕蟲病毒也具有網路意識。它枚舉網路資源，並將自身複製到它能夠訪問的其他計算機上的下列資料夾中：

* Windows\All Users\Start Menu\Programs\StartUp

* Documents and Settings\All Users\Start Menu\Programs\Startup

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

使用 W32.Sobig.B 防毒工具進行防毒

Symantec 安全回響中心已經創建了用來殺除 W32.Sobig.B@mm 的工具。這是消除此威脅的最簡便方法。單擊此處可獲取該工具。

手動防毒

作為使用該防毒工具的替代方法，您可以手動消除此威脅。

下列說明涉及所有當前和最新的 Symantec AntiVirus 產品，包括 Symantec AntiVirus 和 Norton AntiVirus 產品系列。

1. 更新病毒定義。

2. 對系統進行完整掃描，並刪除經檢測感染了 W32.Sobig.B@mm 的所有檔案。

3. 使用 Windows 查找或搜尋實用程式來查找並刪除檔案。

4. 刪除已經添加到註冊表的值。

有關上述每個步驟的詳細信息，請參閱下面的說明。

1. 更新病毒定義

Symantec 在將病毒定義發布到伺服器之前，會對所有病毒定義進行徹底測試，以確保其質量。可使用以下兩種方法獲取最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。

* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。

現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。

2. 將計算機重啟到安全模式或者終止特洛伊木馬進程

Windows 95/98/Me

將計算機重啟到安全模式。所有 Windows 32-bit 作業系統，除了Windows NT，可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。

Windows NT/2000/XP

要終止特洛伊木馬進程：

1. 按一次 Ctrl+Alt+Del。

2. 單擊“任務管理器”。

3. 單擊“進程”選項卡。

4. d. 雙擊“映像名稱”列標題，按字母順序對進程排序。

5. 滾動列表並查找 iservc.exe。

6. 如果找到該檔案，則單擊此檔案，然後單擊“結束進程”。

7. 單擊“任務管理器”。

3. 掃描並刪除受感染的檔案

1. 啟動 Symantec 防病毒程式，並確保將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 對系統進行完整掃描。

3. 如果存在經檢測感染了 W32.Sobig.B@mm 的檔案，請單擊“刪除”。

4. 查找並刪除檔案

對於下列作業系統，按照說明操作：

* Windows 95/98/Me/NT/2000

1. 單擊“開始”，指向“查找”或“搜尋”，然後單擊“檔案或資料夾”。

2. 請確保將“搜尋範圍”設定為 (C:) 並選中“包含子資料夾”複選框。

3. 在“名稱”或“搜尋”框中，鍵入或複製並貼上檔案名稱：

hnks.ini msdbrr.ini

4. 單擊“開始查找”或“立即搜尋”。

5. 刪除顯示的檔案。

* Windows XP

1. 單擊“開始”，然後單擊“搜尋”。

2. 單擊“所有檔案和資料夾”。

3. 在“全部和部分檔案名稱稱”框中，鍵入或複製並貼上檔案名稱：

hnks.ini msdbrr.ini

4. 確保將“搜尋範圍”設定為“本地硬碟”或 (C:)。

5. 單擊“更多高級選項”。

6. 選中“搜尋系統資料夾”。

7. 選中“搜尋子資料夾”。

8. 單擊“搜尋”。

9. 刪除顯示的檔案。

5. 刪除註冊表中的值

警告：Symantec 強烈建議您在對註冊表進行任何更改之前，將註冊表備份。錯誤地更改註冊表可導致數據永久丟失或檔案被損壞。請僅修改指定的註冊表鍵。有關說明，請參閱文檔：如何備份 Windows 註冊表。

1. 單擊“開始”，然後單擊“運行”（將顯示“運行”對話框。）

2. 鍵入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

3. 導航至以下註冊表鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除以下值：

"System Tray"="%Windir%\msccn32.exe"

5. 如果作業系統是 Windows NT/2000/XP，請導航至以下註冊表鍵：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

6. 在右窗格中，刪除以下值：

"System Tray"="%Windir%\msccn32.exe"

7. 退出註冊表編輯器。

描述者： Douglas Knowles