基本介紹
- 中文名:W95.HybrisF
- 名稱:W95.HybrisF
- 類型:Worm
- 發現: 2000 年 11 月 17 日
- 更新:2007 年 2 月 13 日 11:35:53 AM
基本信息,建議,
基本信息
發現: 2000 年 11 月 17 日
更新:2007 年 2 月 13 日 11:35:53 AM
別名: W95.Hybris.Plugin, W32/Hybris@MM [McAfee], I-Worm.Hybris.dropper [Kaspers, WORM_HYBRIS.DR1 [Trend], Win32.Hybris.dr [Computer Asso
類型: Worm
受感染的系統: Windows 95, Windows 98, Windows Me
W95.HybrisF 是 W95.Hybris.gen 蠕蟲下載的加密外掛程式之一。
什麼是可移植的可執行(PE) 檔案?
PE 檔案是能在所有 Microsoft 32 位作業系統間進行移植的檔案。同一 PE 格式的檔案可以在 Windows 95、98、Me、NT 和 2000 任一版本上執行。因此,所有 PE 檔案都是執行檔,但並非所有執行檔都是可移植的。
防護
* 病毒定義(每周 LiveUpdate™) 2000 年 11 月 17 日
* 病毒定義(智慧型更新程式) 2000 年 11 月 17 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Low
分發
* 分發級別: High
該外掛程式感染可移植的可執行 (PE) 檔案(請參閱下面的“其他信息”)。只有代碼部分足夠長的 PE 檔案才會受到感染。病毒感染外掛程式會擠滿原始碼區,如果位置合適,還會覆蓋該代碼區。這種複雜的非啟發式感染技術很難修復,但也不是不可能修復。目前 SARC 將該外掛程式檢測為 W95.HybrisF。已創建了殺除該外掛程式的防毒工具。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
殺除蠕蟲:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 確保 Norton AntiVirus 設定為掃描所有檔案。
3. 以安全模式重新啟動計算機 (Windows 95/98/Me)。
* Windows 95
1. 退出所有程式,然後關閉計算機。
2. 關閉計算機並等待 30 秒。必須關閉電源才能將病毒從記憶體中刪除。請不要按重置按鈕。
3. 打開計算機。出現訊息“正在啟動 Windows 95”時,按 F8 鍵。
4. 鍵入安全模式對應的數字,然後按 Enter 鍵。
* Windows 98/Me
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入 msconfig,然後單擊“確定”。出現“系統配置實用程式”對話框。
3. 單擊“常規”選項卡,然後單擊“高級”。
4. 選中“啟用‘啟動’選單”,單擊“確定”,然後再次單擊“確定”。
5. 退出所有程式,然後關閉計算機。
6. 關閉計算機並等待 30 秒。必須關閉電源才能將病毒從記憶體中刪除。請不要按重置按鈕。
7. 打開計算機,然後等待選單出現。
8. 鍵入安全模式對應的數字,然後按 Enter 鍵。
注意:當您完成本文檔中的所有步驟後,可以重複步驟 1 至步驟 4。在步驟 4 中,取消選中“啟用啟動選單”。當您下次重新啟動計算機時,將看不見啟動選單。
4. 運行完整的系統掃描。
o 如果 Norton AntiVirus 檢測到 W95.HybrisF,請重新啟動進入正常模式,下載並運行 W95.HybrisF 修復工具。此工具將修復被 W95.HybrisF 感染的所有 Windows 執行檔。
o 如果 Norton AntiVirus 檢測到 W95.HybrisF 以外的病毒,請選擇修復所有受感染檔案。如果 Norton AntiVirus 不能修復這些檔案,請選擇將其刪除。
5. 掃描完成後,重新啟動計算機進入正常模式。
描述者: SARC Engineer