荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: gordonlot (人渣有理), 信区: Virus
标 题: 赛门铁克彻底清除"求职信"变种 完全修复感染文件
发信站: 荔园晨风BBS站 (Sat May 11 07:35:34 2002), 转信
赛门铁克彻底清除"求职信"变种 完全修复感染文件
来自赛门铁克安全响应中心的研究表明,新近发现的诸多蠕虫病毒分别名为W32.
Klez.gen@mm,W32.Klez.H@mm,W32.Klez.E@mm等,它们均为W32.Klez.@mm(中文名
为"求职信"病毒)的变种。
W32.Klez.gen@mm的危害及清除恢复
从来自赛门铁克安全响应中心在全球收到的最新该蠕虫病毒提交数目来看,由于感
染W32.Klez.gen@mm的人数增多,其威胁程度已升级为4级(5级是最严重)。W32.
Klez.gen@mm是W32.Klez.@mm的普通变种,感染了W32.Klez.gen@mm病毒的计算机又
最可能感染W32.Klez.E@mm 或 W32.Klez.H@mm。
W32.Klez.gen@mm是一种通过邮件途径大规模传播的蠕虫病毒,其通过搜查
Windows地址薄中的地址,将病毒传播到任何找到的收件人。这种蠕虫病毒使用自
己的SMTP来发送信息。传播邮件的主题和附件名称不固定。附件通常采用以下扩展
名中的某一个".vbs、.bat、.exe、.pif 或 .scr。该蠕虫病毒利用微软Outlook
和Outlook Express系统的漏洞,在用户试图浏览或预览消息时发作。W32.Klez.
gen@mm 试图把自己复制到所有共享硬盘的网上邻居中。根据不同的蠕虫变种,该蠕
虫会制造以下对系统造成危害的病毒:W32.Elkern.3326、W32.Elkern.3587或
W32.Elkern.4926
解决建议:赛门铁克安全响应中心呼吁所有用户及网管遵循以?quot;最佳解决办法":
关掉并删除不必要的功能。由于默认功能,很多操作系统设置一些并不重要的辅助
功能像FTP client, telnet, 和 Web server等。这些功能是病毒的入侵途径。如
果去除它们后,就减少了混合型病毒的入侵途径,在用补丁程序进行更新时你只需
要对较少的功能进行更新。
如果某种混合型病毒 侵害了某项网络,请暂停使用某项功能直至修补好为止。
及时对补丁程序进行更新, 这对于管理共享及易于透过防火墙入侵的功能如HTTP,
FTP, mail, 和 DNS的计算机尤为重要。
设置密码:复杂的密码使得在锁定的计算机上打开密码文件变得及其困难。当计算
机被锁定时,可以防止或降低外来侵害。
对邮件服务器进行设置,阻止或删除带有.vbs, .bat, .exe, .pif 和scr扩展名的
邮件。
迅速隔离受病毒感染的计算机,防止危及整个网络。进行病毒分析,采用可靠的手
段恢复计算机。
对员工进行培训,不要随便打开附件,除非是他们期望的内容。同时,在没有经过
病毒检测的情况下,不要运行从互联网上下载的软件,否则将会因为某个浏览器漏
洞没有及时修补而感染病毒。
针对 W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587, 和 W32.ElKern.4926,
赛门铁克安全响应中心已开发了专用的清除工具,请点击http:
//securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.
tool.html寻找工具。如果您不便于找到该工具,请参照关于W32.Klez.E@mm 或
W32.Klez.H@mm的手工去除办法(参见下文)。
W32.Klez.H@mm的危害及清除
值得注意的是,感染W32.Klez.H@mm这只变种蠕虫病毒后,它会删除防毒软件的开
机注册密码(startup registry keys),并删除计算机系统里的文档,使防毒软
件的自动防护功能不能正常运作。也因为这只变种蠕虫病毒具有破坏防毒软件的特
性,赛门铁克建议计算机用户如果感染这只变种蠕虫病毒后,必须重新安装防毒软
件,使防毒软件能重新正常运作,以免即使之前已安装了防毒软件,但是计算机日
后还是呈现"无防毒"状态。当前,这只变种蠕虫病毒W32.Klez.H@mm正通过电子邮
件与计算机网络向全球各地扩散。赛门铁克呼吁计算机用户赶紧下载最新的病毒定
义文件,并不要开启来历不明邮件。
针对已受感染或可能受感染病毒的用户,赛门铁克现已提供修复工具,可同时侦测
及修复
W32.Klez.H@mm、W32.Klez.E@mm等病虫的感染,删除由其危害产生的登录值。
下载及执行修复工具
1.W32.Klez.H@mm的病毒的处理方式如下:
从 http://securityresponse.symantec.com/avcenter/FixKlez.com下载Klez 修
复工具, 可存放至硬盘或磁盘上
Fix tools使用方式
(1) 在DOS 模式下,输入fixklez /slient 或 /S:在背景执行,且为无响应方法
执行, 此功能可适用于以logonscripts(登入指令文件), 最适合在企业网络中在短
时间内对大量机器进行检测病毒功能;
(2)输入fixklez /START:立即扫描,不出现GUI(使用者接口),且同为无响应方式
执行;
(3)直接输入fixklez,则您可以看到详细的图形使用者接口,您可以直接按下
Start 选择扫描;
2.执行fixklez 完成后,请移除您的防毒软件(因为部份文件可能已经中毒),在删除
时请务必连同liveupdate也要一并删除,若删除过程中有发生无法正常删除情况,
请参考下列网址,以手动方法将赛门铁克防毒软件删除:
NAVCE 7.x 95/98/me
http://service4.symantec.com/SUPPORT/ent-security.
nsf/pfdocs/1999111609485148
NAVCE 7.x NT/2000/XP
http://service4.symantec.com/SUPPORT/ent-security.
nsf/pfdocs/2000120111571948
NAV 2000/2001/2002
http://service2.symantec.com/SUPPORT/nav.nsf/pfdocs/2001092114452606
3.删除完成后,再重新安装赛门铁克防毒软件,并立即更新病毒定义文件至最新版本
;
4.若上述过程中出现无法正常执行删除或安装防毒软件之时,很有可能是在执行上述
清毒过程中失败,请重新再执行一次修复工具(fixklez),然后开始手动清除病毒
,请参考下述步骤:
(1)在中毒的机器中,80%以上都会找到winkxxxxxx-随机数或wqk的service正在执
行,在NT/2000/XP上,建议最好以系统管理员administrator身分进入安全模式,
然后测试是否可以直接终止该service程序,如果不行,请将administrator的权利
指派给这两个病毒入侵之后所产生的service,便可以将其终止,但是如果在
Windows 95/98时,有很多的情况是在工作管理员里找不到这个执行程序,如果是
如此的话,请跳过这个部份,直接进行下一个步骤;
(2)在Windows NT/2000/XP上,将service终止后才能将被感染的registry key 删除
,在"开始菜单"/"运行",输入regedt32(登录编辑程序),输入winkxxxxx(随机数
),或wqk的值去寻找,找到的键值全数将其删除,请注意在
HKLM\SYSTEM\ControlSet001\Enum\Root下的请务必要将其删除,
注:在95/98上,请删除HKLM\System\CurrentControlSet\Services下找到的相关
键值;
(3)删除键值之后,就可以开始删除带毒文件,您可以在 c:\windows 目录
(Windows或Winnt)\(system 或system32)\下,找到上述的winkxxxxx(随机数).
exe或wqk.exe的文档,然后将之删除;
(4)清空回收站。
5.总之,彻底删除病毒植入的文件和键值之后,移除重新安装防毒软件的步骤执行才
会正常,如此,防毒软件最重要的自动防护功能才会恢复正常执行,接下来更新病
毒定义文件之后,也才能确定能够有效拦阻Klez.H;
6.在防毒软件重新安装完成之后,强烈建议对系统中所有档案进行完整手动扫瞄, 若
有发现Klez.H档案一律将其删除,若有系统依然不正常的情况, 代表有部份的系统
文件无法修复,建议备份重要资料,然后最好重新安装操作系统;
7.在防毒软件的问题处理完成之后,为了避免再次发生中毒情况,强烈建议您将
IE(Internet Explorer)升级到最新的6.0 版,因为在升级之后,outlook的安全漏
洞才会被修复,才不会发生运行outlook之后,仅在预览阶段就中毒的情况(新版的
IE已经修正这个问题);
8.如果您的邮件服务器所安装的防毒软件,有过滤邮件内容附件的功能,强烈建议您
在此功能上设定扫描阻挡可能夹带病毒的附件文件进入您的网络系统,相关信息可
参考网址:
http://www.sarc.com/avcenter/venc/data/w32.klez.h@mm.html
请依照其中有关于e-mail的章节部分,对可疑夹带病毒的附件,做隔离的操作。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.221]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店