基本介紹
- 中文名:W32.Swen.A@mm
- 發現:2003 年 9 月 18 日
- 更新:2007 年 2 月 13 日 12:12:04 PM
- 類型: Worm
簡介,防護,威脅評估,廣度,損壞,分發,後果,傳播,建議,
簡介
發現:2003 年 9 月 18 日
更新:2007 年 2 月 13 日 12:12:04 PM
別名:Swen [F-Secure],W32/Swen@mm [McAfee],W32/Gibe-F [Sophos],I-Worm.Swen [KAV],Win32 Swen.A [CA],WORM_SWEN.A [Trend],Worm.Automat.AHB [Previous Sym
類型: Worm
感染長度:106,496 bytes
受感染的系統:Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003,Windows XP
由於提交次數的增加,Symantec 安全回響中心自 2003 年 9 月 18 日周四 6:30pm 起,將 W32.Swen.A@mm 升級為 3 類威脅。
注意:數字免疫系統自動創建的定義以前將此威脅檢測為 Worm.Automat.AHB。
該蠕蟲以電子郵件附屬檔案的形式到達。電子郵件的主題、正文和發件人地址各不相同。例如,有些郵件自稱是 Microsoft Internet Explorer 的補丁程式,或是來自 qmail 的郵遞失敗通知。
W32.Swen.A@mm 在功能上類似於 W32.Gibe.B@mm,是用 C++ 編寫的。
此蠕蟲利用 Microsoft Outlook 和 Outlook Express 中的漏洞,試圖在您打開甚至預覽郵件時自行執行。有關漏洞的信息和相應的補丁程式,
Symantec 安全回響中心開發了一種防毒工具,可用來清除 W32.Swen.A@mm 感染。
防護
* 病毒定義(每周 LiveUpdate™即智慧型更新程式) 2003 年 9 月 18 日
威脅評估
廣度
* 廣度級別:Low
* 感染數量:More than 1000
* 站點數量:More than 10
* 地理位置分布:High
* 威脅抑制:Easy
* 清除:Difficult
損壞
* 損壞級別:Medium
* 危及安全設定:Attempts to terminate processes associated with various programs.
分發
* 分發級別:High
* 電子郵件的主題:Varies
* 附屬檔案名稱:Varies with .exe or .zip file extension.
* 附屬檔案大小:106,496 bytes
後果
⒈ 檢查計算機是否已安裝該蠕蟲。如果已安裝,安裝程式會終止並顯示下面的信息:
⒉ 如果執行的檔案名稱以字母 q、u、p 或 i 開頭,蠕蟲會向用戶顯示對話框,偽裝成“Microsoft Internet Update Pack”。
不管用戶此時如何選擇,蠕蟲都會安裝自身。如果您選擇"No",蠕蟲會悄悄地安裝,如果選擇"Yes",下面的視窗會顯示安裝過程:
⒊ 試圖終止下列進程:
* Azonealarm
* zapro
* wfindv32
* webtrap
* vsstat
* vshwin32
* vsecomr
* vscan
* vettray
* vet98
* vet95
* vet32
* vcontrol
* vcleaner
* tds2
* tca
* sweep
* sphinx
* serv95
* safeweb
* rescue
* regedit
* rav
* pview
* pop3trap
* persfw
* pcfwallicon
* pccwin98
* pccmain
* pcciomon
* pavw
* pavsched
* pavcl
* padmin
* outpost
* nvc95
* nupgrade
* nupdate
* normist
* nmain
* nisum
* navw
* navsched
* navnt
* navlu32
* navapw32
* nai_vs_stat
* msconfig
* mpftray
* moolive
* luall
* lookout
* lockdown2000
* kpfw32
* jedi
* iomon98
* iface
* icsupp
* icssuppnt
* icmoon
* icmon
* icloadnt
* icload95
* ibmavsp
* ibmasn
* iamserv
* iamapp
* gibe
* f-stopw
* frw
* fp-win
* f-prot95
* fprot95
* f-prot
* fprot
* findviru
* f-agnt95
* espwatch
* esafe
* efinet32
* ecengine
* dv95
* claw95
* cfinet
* cfind
* cfiaudit
* cfiadmin
* ccshtdwn
* ccapp
* bootwarn
* blackice
* blackd
* avwupd32
* avwin95
* avsched32
* avp
* avnt
* avkserv
* avgw
* avgctrl
* avgcc32
* ave32
* avconsol
* autodown
* apvxdwin
* aplica32
* anti-trojan
* ackwin32
* _avp
⒋ 將自身的副本以隨機生成的檔案名稱放入 %Windir% 中。
注意:%Windir% 是一個變數。蠕蟲會找到 Windows 安裝資料夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
⒌ 在硬碟的 .html、.asp、.eml、.dbx、.wab、.mbx 檔案中搜尋電子郵件地址。
⒍ 創建檔案 %Windir%\Germs0.dbv,在其中存儲它找到的電子郵件地址。
⒎ 創建檔案 %Windir%\Swen1.dat,在其中存儲遠程新聞和郵件伺服器列表。
⒏ 放入 %ComputerName%.bat 檔案,該檔案執行蠕蟲和隨機命名的配置檔案以存儲計算機特定的本地數據。
注意:%ComputerName% 是一個變數,代表受感染計算機的名稱。
⒐ 將值:
* "CacheBox Outfit"="yes"
* "ZipName"="<random>"
* "Email Address"="<The current users email address that the worm retrieves from the registry>"
* "Server"="<The IP address of the SMTP server that the worm retrieves from the registry>"
* "Mirc Install Folder"="<location of mirc client on system>"
* "Installed"="...by Begbie"
* "Install Item"="<random>"
* "Unfile"="<random>"
添加到鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\*
其中 * 是一組隨機的字母。
⒑ 將隨機命名的值添加到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
使蠕蟲在 Windows 啟動時隨之啟動。
⒒ 修改下列註冊表鍵:
* HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
* HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command
* HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command
* HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command
* HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
* HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command
從而將蠕蟲鉤連到其中每種檔案類型。
⒓ 修改註冊表鍵:
"DisableRegistryTools" = "1"
中的值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
以防止用戶在系統上運行 regedit。
⒔ 定期向用戶顯示偽造的 MAPI32 Exception 錯誤,
提醒他們輸入其電子郵件帳戶的詳細信息,包括下列信息:
* Username
* Password
* POP3 server
* SMTP server
⒕ 蠕蟲會使用用戶名和密碼登錄 POP3 伺服器並檢查用戶的電子郵件。如果蠕蟲發現一封自己發出的郵件就會將其刪除。蠕蟲只刪除從已感染的計算機發出的信息。
⒖ 向用戶顯示下列偽造的錯誤訊息,然後在運行特定執行檔(例如 regedit)時退出:
⒗ 向預定義的 HTTP 伺服器傳送 HTTP Get 請求以提取蠕蟲首次運行時的計數器信息。然後,蠕蟲可能會顯示該計數器信息。例如:
⒘ 先使用 Winzip 再使用 Winrar 檔案壓縮工具創建一份或多份自身的壓縮版本。
蠕蟲通過電子郵件、KaZaA、IRC、網路共享和新聞組傳播。以下部分討論了上面每種傳播方法是如何進行的。
傳播
W32.Swen.A@mm 將自身的副本傳送到通過各種方法在系統上找到的地址。蠕蟲會改變它傳送的訊息以及它附加自己時使用的檔案名稱。它利用 Microsoft Security Bulletin MS01-020 中提及的不正確的 MIME 頭漏洞以確保在查看郵件時能自動執行。
其中一種訊息偽裝成來自 Microsoft 的緊急訊息,建議用戶用使用它的附屬檔案更新系統。附屬檔案名的創建如下:
⒈ 從下列名字中選擇一個。
* Patch
* Upgrade
* Update
* Installer
* Install
* Pack
* Q
⒉ 隨後是幾個隨機數字組成的序列。
⒊ 使用 .exe 或 .zip 作為擴展名。
蠕蟲還可以模仿郵件郵遞失敗通知,將自身附加為隨機命名的執行檔。
例如:
"I'm sorry I wasn't able to deliver your message to one or more destinations."
通過 KaZaA 傳播
試圖通過 KaZaA 傳播時,W32.Swen.A@mm 會執行下列操作:
⒈ 將自身的副本放入系統上 %Temp% 下的隨機命名的子目錄中。
注意:%Temp% 是一個變數。蠕蟲會找到 Windows 安裝資料夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
⒉ 將值:
"Dir99"= 012345:"<random folder name>"
"DisableSharing"="0"
添加到註冊表鍵:
HKEY_CURRENT_USER\Software\Kazaa\LocalContent
從而將此資料夾添加到 KaZaA 中的已分享檔案夾列表中。
注意:<random folder name> 是在上面的步驟 1 中在 %Temp% 下創建的資料夾。
⒊ 其中部分可能放入的檔案名稱包括:
* Virus Generator
* Magic Mushrooms Growing
* Cooking with Cannabis
* Hallucinogenic Screensaver
* My naked sister
* XXX Pictures
* Sick Joke
* XXX Video
* XP update
* Emulator PS2
* XboX Emulator
* Sex
* HardPorn
* Jenna Jameson
* 10.000 Serials
* Hotmail hacker
* Yahoo hacker
* AOL hacker
* fixtool
* cleaner
* removal tool
* remover
* Klez
* Sobig
* Sircam
* Gibe
* Yaha
* Bugbear
* installer
* upload
* warez
* hacked
* hack
* key generator
* Windows Media Player
* GetRight FTP
* Download Accelerator
* Mirc
* Winamp
* WinZip
* WinRar
* KaZaA
* KaZaA media desktop
* Kazaa Lite
試圖通過 IRC 傳播時,W32.Swen.A@mm 會執行下列操作:
⒈ 搜尋 \Mirc 資料夾。
⒉ 在此資料夾中創建 Script.ini 檔案,蠕蟲使用該檔案將自身傳送給其他與受感染計算機連線到同一信道的 mIRC 用戶。
試圖通過網路共享傳播時,W32.Swen.A@mm 會試圖找到所有映射的網路驅動器上的 Startup 資料夾:
* \Win98\Start menu\Programs\Startup
* \Win95\Start menu\Programs\Startup
* \WinMe\Start menu\Programs\Startup
* \Windows\Start menu\Programs\Startup
* \Documents and Settings\All
* \Documents and Settings\Administrator\Start menu\Programs\Startup
* \Documents and Settings\Default
* \Winnt\Profiles\All
* \Winnt\Profiles\Administrator\Start menu\Programs\Startup
* \Winnt\Profiles\Default
W32.Swen.A@mm 還可能試圖將自身分發到地址包含在蠕蟲內部的預定新聞組。如果系統沒有設定新聞組,蠕蟲會從事先準備的清單中隨機選取一個。蠕蟲會下載可用的新聞組,並向隨機選中的新聞組傳送信息。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack).. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
請根據實際情況,按照相應部分中的指導進行操作。強烈建議您在開始操作之前,首先閱讀相應部分中的所有指導。
W32.Swen.A@mm 尚未被隔離或刪除
如果 Symantec 防病毒產品尚未隔離或刪除 W32.Swen.A@mm,並且您懷疑或知道自己的系統上存在 W32.Swen.A@mm,請執行下列操作:
⒈ 下載並運行 W32.Swen.A@mm 防毒工具。W32.Swen.A@mm 防毒工具文檔中提供了完整指導。
⒊ 運行完整的系統掃描。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
⒉ 運行完整的系統掃描。
W32.Swen.A@mm 已被隔離或刪除
Windows 95/98
⒈ 重新啟動計算機。
⒉ 執行下列操作之一:
* Windows 95:當螢幕上出現“正在啟動 Windows 95…”時,按 F8 鍵。將出現 Windows 95 啟動選單。
* Windows 98:在計算機重新啟動時,按住 Ctrl 鍵,直到出現 Windows 98 啟動選單。
注意:在一些計算機上,如果在重新啟動過程中持續按住 Ctrl 鍵,可能會出現鍵盤錯誤或其他錯誤。如果發生這種情況,請根據提示按某個鍵繼續(例如,訊息可能提示您按 Esc 鍵),然後立即再次按 Ctrl 鍵。
⒊ 選擇“Command Prompt only”。
⒋ 鍵入下列命令,每鍵入完一行即按 Enter 鍵:
cd\
cd windows
edit repair.reg
將打開 DOS 編輯器。
⒌ 嚴格按照如下顯示向 DOS 文本編輯器中鍵入下列行:
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \%1\"
⒎ 鍵入下列命令,每鍵入完一行即按 Enter 鍵。必須嚴格按照下面的顯示鍵入這些命令:
regedit /e backup.reg hkey_classes_root\exefile
regedit /d hkey_classes_root\exefile\shell\open\command
regedit /d hkey_classes_root\regfile\shell\open\command
regedit repair.reg
⒏ 重新啟動計算機。
⒐ 下載並運行 W32.Swen.A@mm 防毒工具。W32.Swen.A@mm 防毒工具文檔中提供了完整指導。
⒑ 運行此工具後,更新病毒定義。Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
⒒ 運行完整的系統掃描。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
⒉ 運行完整的系統掃描。
Windows Me
⒉ 鍵入下列命令,每鍵入完一行即按 Enter 鍵:
c:
cd\
cd windows
edit repair.reg
將打開 DOS 文本編輯器。
⒊ 嚴格按照如下顯示向 DOS 文本編輯器中鍵入下列命令行:
REGEDIT4
[Hkey_classes_root\exefile\shell\open\command]
@="\"%1\" %*"
[Hkey_classes_root\regfile\shell\open\command]
@="regedit.exe \%1\"
⒌ 鍵入下列命令,每鍵入完一行即按 Enter 鍵。必須嚴格按照下面的顯示鍵入這些命令:
regedit /e backup.reg hkey_classes_root\exefile
regedit /d hkey_classes_root\exefile\shell\open\command
regedit /d hkey_classes_root\regfile\shell\open\command
regedit repair.reg
⒍ 重新啟動計算機。
⒎ 下載並運行 W32.Swen.A@mm 防毒工具。W32.Swen.A@mm 防毒工具文檔中提供了完整指導。
⒏ 運行此工具後,更新病毒定義。Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
⒐ 運行完整的系統掃描。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
⒉ 運行完整的系統掃描。
Windows NT/2000/XP
⒈ 下載 W32.Swen.A@mm 防毒工具,然後開始按照 W32.Swen.A@mm 防毒工具文檔中的指導進行操作。但在執行到步驟 5(指導您“雙擊 FixSwen.exe 檔案”)時,請停止操作。不要雙擊該檔案,而應執行下列操作:
⒈ 用滑鼠右鍵單擊 FixSwen.exe 檔案,然後單擊“重命名”。
⒉ 將該檔案重命名為:
FixSwen.cmd
⒊ 當系統詢問您是否要更改檔案擴展名時,單擊“是”。
⒋ 雙擊 FixSwen.cmd 檔案,然後繼續進行防毒工具文檔中的操作。
有關獲得“智慧型更新程式”病毒定義的詳細指導,請參閱 如何使用智慧型更新程式更新病毒定義檔案。
⒊ 運行完整的系統掃描。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
⒉ 運行完整的系統掃描。
描述者:John Canavan