W32.Sobig.C@mm

基本介紹

  • 中文名:W32.Sobig.C@mm
  • 發現:2003 年 5 月 31 日
  • 更新:2007 年 2 月 13 日 12:06:44 PM
  • 類型:Worm
概要,防護,威脅評估,廣度,損壞,分發,建議,手動防毒,

概要

發現: 2003 年 5 月 31 日
更新: 2007 年 2 月 13 日 12:06:44 PM
別名: W32/Sobig.c@MM [McAfee], Win32/Sobig.C [ESET], Sobig.C [F-Secure], I-Worm.Sobig.c [KAV], WORM_SOBIG.C [Trend], Win32.Sobig.C [CA], W32/Sobig-C [Sophos]
類型: Worm
感染長度: About 59kb
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
由於客戶提交數量的增加,Symantec 安全回響中心在 2003 年 6 月 1 日將該威脅從類別 2 升級到類別 3。
W32.Sobig.C@mm 是一種群發郵件蠕蟲,它將其自身傳送到在具有以下擴展名的檔案中找到的所有電子郵件地址:
* .wab
* .dbx
* .htm
* .html
* .eml
* .txt
該郵件會假稱發自 Microsoft
電子郵件例程詳細信息
該電子郵件具有以下特徵:
發件人: (注意:因為 W32.Sobig.C@mm 偽裝發件人欄,該欄目內可能會是任何地址。)
主題:The subject line will be one of the following:
* Re: Movie
* Re: Submited (004756-3463)
* Re: 45443-343556
* Re: Approved
* Approved
* Re: Your application
* Re: Application
郵件正文:Please see the attached file.
附屬檔案:附屬檔案名稱為下列名稱之一:
* screensaver.scr
* movie.pif
* submited.pif
* 45443.pif
* documents.pif
* approved.pif
* application.pif
* document.pif
注意:該蠕蟲將在 2003 年 6 月 08 日失效,因此其傳播的最後一天是 2003 年 6 月 7 日。
Symantec 安全回響中心已經創建了用來殺除 W32.Sobig.C@mm 的工具。單擊此處可獲取該工具。

防護

* 病毒定義(每周 LiveUpdate™) 2003 年 6 月 1 日
* 病毒定義(智慧型更新程式) 2003 年 6 月 1 日

威脅評估

廣度

* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Easy
* 清除: Moderate

損壞

* 損壞級別: Low
* 大規模傳送電子郵件: Sends email to addresses collected from files with the following extensions: .wab, .dbx, .htm, .html, .eml, .txt.

分發

* 分發級別: High
* 電子郵件的主題: Re: Movie, Re: Submited (004756-3463), Re: 45443-343556, Re: Approved, Approved, Re: Your application, or Re: Application.
* 附屬檔案名稱: screensaver.scr, movie.pif, submited.pif, 45443.pif, documents.pif, approved.pif, application.pif, o
* 附屬檔案大小: About 59kb
* 共享驅動器: Attempts to copy itself to shared resources.
當 W32.Sobig.C@mm 活動時,它將執行以下操作
1. 將其自身作為 %Windir%\mscvb32.exe 進行複製。
注意:%Windir% 是一個變數。該蠕蟲找到 Windows 安裝資料夾(默認情況下,為 C:\Windows 或 C:\Winnt)並將自身複製到該位置。
2. 創建下列檔案:
* %Windir%\msddr.dll
* %Windir%\msddr.dat
3. 將值
"System MScvb"="%Windir%\mscvb32.exe"
添加到以下註冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便 W32.Sobig.C@mm 在您啟動 Windows 時運行。
4. 如果作業系統是 Windows NT/2000/XP,則該蠕蟲還會將值:
"System MScvb"="%Windir%\mscvb32.exe"
添加到以下註冊表鍵中:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. 枚舉網路資源並將其自身複製到以下資料夾:
* Windows\All Users\Start Menu\Programs\StartUp
* Documents and Settings\All Users\Start Menu\Programs\Startup
6. 嘗試從四個不同的 GeoCities 網頁下載數據。這些網頁的地址存儲在上述 .ini 檔案中。
蠕蟲病毒也具有網路意識。它枚舉網路資源,並將自身複製到它能夠訪問的其他計算機上的下列資料夾中:
* Windows\All Users\Start Menu\Programs\StartUp
* Documents and Settings\All Users\Start Menu\Programs\Startup

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
使用 W32.Sobig.C 防毒工具進行防毒
Symantec 安全回響中心已經創建了用來殺除 W32.Sobig.C@mm 的工具。這是消除此威脅的最簡便方法。單擊此處可獲取該工具。

手動防毒

作為使用該防毒工具的替代方法,您可以手動消除此威脅。
下列說明涉及所有當前和最新的 Symantec AntiVirus 產品,包括 Symantec AntiVirus 和 Norton AntiVirus 產品系列。
1. 更新病毒定義。
2. 進行以下步驟之一:
* Windows 95/98/Me:將計算機重啟到安全模式。
* Windows NT/2000/XP:結束特洛伊木馬程式。
3. 對系統進行完整掃描,並刪除經檢測感染了 W32.Sobig.C@mm 的所有檔案。
4. 使用 Windows 查找或搜尋實用程式來查找並刪除檔案
5. 刪除已經添加到註冊表的值。
有關上述每個步驟的詳細信息,請參閱下面的說明。
1. 更新病毒定義
Symantec 在將病毒定義發布到伺服器之前,會對所有病毒定義進行徹底測試,以確保其質量。可使用以下兩種方法獲取最新的病毒定義:
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案
2. 將計算機重啟到安全模式或者終止特洛伊木馬進程
Windows 95/98/Me
將計算機重啟到安全模式。所有 Windows 32-bit 作業系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
Windows NT/2000/XP
要終止特洛伊木馬進程:
1. 按一次 Ctrl+Alt+Del。
2. 單擊“任務管理器”。
3. 單擊“進程”選項卡。
4. d. 雙擊“映像名稱”列標題,按字母順序對進程排序。
5. 滾動列表並查找 Mscvb32.exe。
6. 如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。
7. 單擊“任務管理器”。
3. 掃描並刪除受感染的檔案
1. 啟動 Symantec 防病毒程式,並確保將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 對系統進行完整掃描。
3. 如果存在經檢測感染了 W32.Sobig.C@mm 的檔案,請單擊“刪除”。
4. 查找並刪除檔案
對於下列作業系統,按照說明操作:
* Windows 95/98/Me/NT/2000
1. 單擊“開始”,指向“查找”或“搜尋”,然後單擊“檔案或資料夾”。
2. 請確保將“搜尋範圍”設定為 (C:) 並選中“包含子資料夾”複選框。
3. 在“名稱”或“搜尋”框中,鍵入或複製並貼上檔案名稱:
msddr.dll msddr.dat
4. 單擊“開始查找”或“立即搜尋”。
5. 刪除顯示的檔案。
* Windows XP
1. 單擊“開始”,然後單擊“搜尋”。
2. 單擊“所有檔案和資料夾”。
3. 在“全部和部分檔案名稱稱”框中,鍵入或複製並貼上檔案名稱:
msddr.dll msddr.dat
4. 確保將“搜尋範圍”設定為“本地硬碟”或 (C:)。
5. 單擊“更多高級選項”。
6. 選中“搜尋系統資料夾”。
7. 選中“搜尋子資料夾”。
8. 單擊“搜尋”。
9. 刪除顯示的檔案。
5. 刪除註冊表中的值
警告:Symantec 強烈建議您在對註冊表進行任何更改之前,將註冊表備份。錯誤地更改註冊表可導致數據永久丟失或檔案被損壞。請僅修改指定的註冊表鍵。有關說明,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”(將顯示“運行”對話框。)
2. 鍵入 regedit 然後單擊“確定”。(將打開註冊表編輯器。)
3. 導航至以下註冊表鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,刪除以下值:
"System MScvb"="%Windir%\mscvb32.exe"
5. 如果作業系統是 Windows NT/2000/XP,請導航至以下註冊表鍵:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6. 在右窗格中,刪除以下值:
"System MScvb"="%Windir%\mscvb32.exe"
7. 退出註冊表編輯器
描述者: Douglas Knowles

相關詞條

熱門詞條

聯絡我們