大無極病毒
大無極病毒
大無極病毒的主要危害是亂髮郵件,郵件內容的一部分來自被感染機器中的資料,因此有可能泄漏用戶的機密文件,特別是對利用區域網辦公的企事業單位,所以這個病毒極有可能大面積傳播。請廣大用戶關注瑞星網站的升級信息,防止重要資料泄漏。
它通過區域網傳播,查找區域網上的所有計算機,並試圖將自身寫入網上各計算機的啟動目錄中以進行自啟動。該病毒一旦運行,在計算機聯網的狀態下,就會自動每隔兩小時到某一指定網址下載病毒,同時它會查找電腦硬碟上所有郵件地址,向這些地址發送標題如:"Re: Movies"、"Re: Sample"等字樣的病毒郵件進行郵件傳播,該病毒還會每隔兩小時到指定網址下載病毒,並將用戶的隱私發到指定的郵箱。由於郵件內容的一部分是來自於被感染電腦中的資料,因此有可能泄漏用戶的機密文件,特別是對利用區域網辦公的企事業單位,最好使用網路版殺毒軟體以防止重要資料被竊取!
一、首先在資源管理器中結束此病毒程序的進程,並且在系統目錄中查找此病毒的生成文件winmgm32.exe,找到后將其刪除;也可以在DOS操作環境中將此病毒文件刪除。
二、在註冊表編輯器:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中將鍵值:WindowsMGM刪除。
三、及時升級殺毒軟體,升級之後在整個硬碟中查殺此病毒,徹底清除掉查到的“大無極”蠕蟲病毒。廣大區域網用戶也可以通過網路版殺毒軟體進行徹底的殺毒工作,以消除此病毒造成的影響。
打開郵件監控
大無極病毒
區域網用戶進行全網查毒
該病毒會在區域網全速傳播,為了減少您的損失,請網管將區域網系統中心進行升級,進行全網查毒。
病毒變種介紹——大無極變種(Worm.sobig.b)
警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:網路/郵件/區域網
感染對象:區域網
病毒介紹
該病毒於5月18日起開始在全球泛濫,5月19日登陸中國,它運行時會複製自己到系統目錄中,修改註冊表進行自啟動,同時向外發送大量病毒郵件,佔用系統資源。
該病毒除了通過郵件、區域網進行快速傳播以外,它還會在後台連接病毒指定的四個網站,在這四個網站上下載病毒文件並運行,這樣以來,大大增加了該病毒的擴展性。如果病毒作者將該病毒的更新版本放入網站,那麼被感染計算機上的病毒就會不定時地升級自身,完成新的變形,使反病毒軟體無法查出;如果病毒作者直接將一些木馬病毒放入這些網站,則被感染計算機上的病毒就會成為這些病毒的幫凶,因此,該病毒對企事業單位有更大的危害性。
病毒的發現與清除
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
⒈ 病毒運行時會將自身複製到系統目錄下,命名為:msccn32.exe。
⒉ 病毒會修改註冊表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run啟動項中添加鍵值System Tray,該鍵值的內容是病毒的文件路徑,這樣在下一次啟動計算機時,病毒會自動運行。
⒊ 病毒會遍歷區域網,並嘗試把自己複製到其它計算機的Windows\All Users\Start Menu\Programs\StartUp\及Documents and Settings\All Users\Start Menu\Programs\Startup,用戶可以查看這些目錄。
⒋ 病毒會搜索硬碟上的所有*.web,*.txt,*.dbx,*.htm,*.html及*.eml的文件,從中提取出email地址,然後向這些地址發送含病毒的郵件。該病毒郵件有以下標題:
Your details | Approved (Ref: 38446-263) | Re: Approved (Ref: 3394-65467) | Your password |
Re: My details | Screensaver Cool screensaver | Re: Movie | Re: My application |
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“大無極變種” (Worm.Sobig.b)病毒。
病毒變種介紹——大無極變種C(Worm.SoBig.c) 2003年6月,瑞星全球反病毒監測網截獲了大無極系列病毒的一個新變種:Worm.SoBig.C,中文名稱為:大無極變種C。該病毒與上一版本病毒(Worm.Sobig.B)相比,除了對其體內的字元串進行了加密處理外,最值得關注的是病毒限制自身傳播的現象。
瑞星的反病毒工程師在分析該病毒時發現,該病毒體內有一段時間判斷代碼。這在近期發現的病毒中是極其少見的,更為奇怪的是,這段時間判斷代碼不是病毒發作的條件,而是病毒對自身傳播的限制條件,當系統時間大於2003年6月8日時,病毒將自動停止傳播。
探究病毒“自殘”的原因,瑞星資深反病毒專家分析說:“從病毒編寫邏輯上講,病毒作者肯定是希望其編寫的病毒能夠廣泛傳播,而這個病毒的一反常態,顯示了一個危險的信號,就是該病毒只是一個測試版本,不久的將來,病毒編寫者還會推出更厲害的新版本”。一般病毒編寫者僅僅進行病毒編寫,不會分階段地進行測試,而這個大無極病毒變種6月8日自動失效的這個特性,表明了病毒編寫已經進入“標準化”、“流程化”的正規階段,這說明了一個 新的病毒時代即將到來,而反病毒廠商的反病毒之路則更加艱辛。
“大無極變種C”的特徵如下:
一 拷貝自身
該病毒運行后,會將自己複製到Window目錄下,命名為:mscvb32.exe,並修改註冊表的自啟動項進行自啟動。
二 加密自身數據
該病毒對其體內的字元串進行了加密處理,增加了病毒分析的難度。
三 感染區域網
病毒會搜索本地區域網資源,並試圖將病毒文件複製到區域網計算機中的:c$,d$,e$共享下的Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup目錄,增大病毒啟動機會。
四 郵件傳播
病毒會搜索磁碟中的*.web,*.txt,*.dbx*.htm,*.html及*.eml文件,並從中提取出mail地址進行郵件傳播,
郵件的標題可能為: | 病毒郵件的附件名可能為: |
Re: Submited (004756-3463) | screensaver.scr |
Re: Your application | submited.pif |
Re: Movie | documents.pif |
Re: 45443-343556 | movie.pif |
Re: Application | 45443.pif |
…… | application.pif |
沒有安裝殺毒軟體的用戶要注意這此標題與附件的郵件。
鑒於該病毒的特性,瑞星公司建議企事業單位使用網路版反病毒軟體,進行日常的網路安全維護,並打開監控、及時升級,隨時防止該病毒推出新版本。
病毒變種介紹——大無極變種D(Worm.SoBig.d)警惕程度:★★★☆
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:區域網/郵件
感染對象:郵件
依賴系統: WIN9X//NT/2000/XP
病毒介紹
大無極變種D(Worm.SoBig.d)病毒於2003年6月19日被瑞星全球反病毒監測網截獲,該變種是大無極病毒家族的第4代成員,在病毒編寫技術上雖然同上幾代病毒區別不大,但鑒於大無極變種B版和C版等變種已經在網路上小範圍泛濫,如果不及時防範,該變種病毒很可能會使系統再次面臨被病毒感染的威脅。
病毒特性
一、拷貝自身到windows目錄
病毒會將自身拷貝到%Windir%目錄中(默認為:c:\windows或c:\winnt),並命名為:Cftrb32.exe,然後建立兩個配置文件:dftrn32.dat 、rssp32.dat。
二、修改註冊表自啟動
病毒運行時會修改註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中添加一個名為:"SFtrb Service",內容為:"%Windir%\cftrb32.exe"的鍵值,當系統重啟時,病毒便會自動運行。
三、感染區域網中的計算機
當計算機連接在網路中時,病毒便會通過計算機連接,將自身拷貝到區域網中的其它計算機中的:Windows\All Users\Start Menu\Programs\StartUp 目錄和Documents and Settings\All Users\Start Menu\Programs\Startup目錄,當區域網中被感染的計算機重啟時,病毒便會自動運行,在區域網中的其它計算機中激活。
四、通過郵件傳播
病毒運行時還會搜索計算機中的.wab 、.dbx 、.htm 、.html 、.eml 、.txt類型的文件,在其中尋找有效的郵件地址,找到后,便生成病毒郵件,向外大量發送。
病毒郵件的標題為以下幾種可能: | 病毒郵件的附件為以下幾種可能: |
Re: Documents | Document.pif |
Re: App.00347545-002 | app003475.pif |
Re: Movies | movies.pif |
Application Ref: 456003 | ref_456.pif |
Re: Your Application (Ref: 003844) | Application844.pif |
Re: Screensaver | Screensaver.scr |
Re: Accepted | Accepted.pif |
Your Application | Applications.pif |
…… | Application.pif |
病毒變種介紹——大無極變種E(Worm.SoBig.E)警惕程度:★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播方式:郵件/區域網
感染對象:區域網
依賴系統: WIN9X//NT/2000/XP
病毒介紹
於2003年6月19日被瑞星全球反病毒監測網截獲,該病毒是目前大無極病毒家族中最厲害的一個變種,其傳播範圍與傳播速度都超過了其它變種。病毒運行後會將自身複製到系統目錄下,並修改註冊表進行自啟動。然後感染區域網中的計算機,將自已放入啟動目錄,導致全網帶毒,病毒還會搜索用戶的mail地址,向外大量發送郵件,使網路癱瘓。
病毒的發現與清除
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
⒈病毒運行時會將自身拷貝到:%Windir%\目錄下命名為:winssk32.exe,然後在該目錄下建立一個名為msrrf.dat的病毒配置文件。用戶可以查找計算機,找到這兩個文件后將之刪除。
⒉病毒運行時會修改註冊表的自啟動項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在其中加入名稱為:SSK Service,內容為:%Windir%\winssk32.exe的鍵值,以便下次系統啟動時病毒能自動運行。用戶可以用REGEDIT工具,將該病毒鍵值直接刪除,使病毒無法啟動。
⒊病毒運行時會在內存中產生一個名為:winssk32的線程。NT以上操作系統的用戶可以用任務管理器直接將該進程殺掉,9X操作系統的用戶則只能用第三方軟體如PROCⅥEW等殺掉該病毒進程。
⒋ 病毒會搜索區域網中的計算機,如果發現有默認共享的計算機,則病毒會將自身拷貝到這些計算機中的:Windows\All Users\Start Menu\Programs\StartUp、Documents and Settings\All Users\Start Menu\Programs\Startup目錄中。用戶可以檢查一下這些目錄,看是否存在上面提到的病毒體,如果有則可以直接清除。
⒌ 病毒會搜索磁碟中的*.web,*.txt,*.dbx*.htm,*.html及*.eml文件,並從中提取出mail地址進行郵件傳播,
郵件的發信人可能為:support@ yahoo . com
郵件的標題可能為:
·Re: Application | ·Re: Movie | ·Re: Movies |
·Re: Submitted | ·Re: ScRe:ensaver | ·Re: Documents |
·Re: Re: Application ref 003644 | ·Re: Re: Document | ·Your application |
·Application.pif | ·Applications.pif | ·movie.pif |
·Screensaver.scr | ·submited.pif | ·new document.pif |
·Re: document.pif | ·004448554.pif | ·Referer.pif |
郵件的附件可能為:
your_details.zip | application.zip | document.zip | screensaver.zip | movie.zip |
沒有安裝殺毒軟體的用戶如果收到這樣的郵件,則可以直接刪除這此郵件。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了大無極變種E(Worm.SoBig.E)病毒。
瑞星反病毒專家的安全建議
⒈ 建立良好的安全習慣。例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載后未經殺毒處理的軟體等,這些必要的習慣會使您的計算機更安全。
⒉ 關閉或刪除系統中不需要的服務。默認情況下,許多操作系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
⒋ 使用複雜的密碼。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
⒌ 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
⒍ 了解一些病毒知識。這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞:如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果了解一些內存知識,就可以經常看看內存中是否有可疑程序。
⒎ 最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、遇到問題要上報,這樣才能真正保障計算機的安全。
病毒變種介紹——大無極變種F(Worm.SoBig.F)警惕程度:★★★★★
發作時間:隨機
病毒類型:蠕蟲病毒
傳播途徑:網路/郵件
依賴系統: WIN9X/NT/ 2000/XP
病毒介紹
該病毒有以下三大特性:
一、郵件傳播能力非常強。病毒作者在原來病毒的基礎上,做了改良,使得“大無極變種F”病毒不但會搜索地址簿中的郵件地址,還能從網頁文件中尋找存在的郵件地址,病毒甚至還能直接在郵件中尋找相關的郵件地址,這些特性大大增強了病毒的郵件傳播能力,從而使該病毒能在短時間內就大量泛濫。
二、病毒的區域網傳播能力很強。病毒運行時會尋找區域網中的其它計算機,找到后便會將自己複製到這些計算機的啟動目錄,在下次重啟時,這些計算機中的病毒便會被自動激活,然後形成連鎖反應,同時向外大量傳播並迅速耗盡郵件伺服器資源。
三、病毒具有自我升級能力。反病毒工程師還發現,該病毒運行時還會通過網路直接與外界的病毒製造者進行溝通,並通過網路直接將自身升級,這樣就可以在傳播的過程中完成變異,形成一個新的變種病毒,繼續在網路上泛濫。
病毒的發現與清除
⒈ 病毒運行時會參內存中產生一個名為:“WINPPR32”的病毒進程,用戶可以用任務管理器(CTRL+SHIFT+DELETE)或第三方內存編輯工具來找到該病毒進程,並將這個進程殺掉。
⒉ 病毒運行時,會將自身複製到系統目錄,並命名為:%WINDIR%\WINPPR32.EXE,用戶可以查找該病毒文件,然後將這個病毒文件刪除。
注意:%Windir%是一個變數,它指的是操作系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝操作系統時指定的其它目錄。%systemdir%是一個變數,它指的是操作系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。
⒊ 病毒會修改註冊表的HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\項,在其中加入“TrayX ="%WINDIR%\winppr32.exe /sinc"的病毒鍵值,用戶可以用REGEDIT 工具直接刪除該病毒鍵值來避免病毒的自啟動。
⒋ 病毒會通過網路枚舉本地區域網資源並試圖將病毒文件複製到系統的c$,d$,e$的Windows\All Users\Start Menu\Programs\StartUp及Documents and Settings\All Users\Start Menu\Programs\Startup的目錄中,如果用戶的計算機是區域網中的計算機,請用戶來查看自己的以上目錄是否有病毒體,如果有,則可以直接刪除病毒文件。
⒌ 該病毒將使用埠8998/udp向其master發送一個探測報文,作為響應,master將返回一個URL,病毒能從此URL下載文件,master有兩個,分別為:A.ROOT-SERVERS. NET或B.ROOT-SERVERS. NET。
⒍ 病毒帶有後門,將打開下列埠:995/udp、996/udp、997/udp、998/udp、999/udp病毒會監聽來自這些埠的UDP報文,並分析它,如果是病毒服務發來的升級信息,則病毒用將自己自動更新。
⒎ 病毒在2003年9月10日會停止傳播。
⒏ 該病毒會以下內容的病毒郵件,用戶如果發現,則可以直接將這些郵件刪除。
病毒郵件的主題為以下幾種可能: | 附件名為以下幾種可能: |
Re: Thank you! | your_document.pif |
Thank you! | document_all.pif |
Your details | thank_you.pif |
Re: Details | your_details.pif |
Re: Re: My details | details.pif |
Re: Approved | document_9446.pif |
Re: Your application | application.pif |
Re: Wicked screensaver | wicked_scr.scr |
Re: That movie | movie0045.pif |
消息正文為以下幾種可能:
Please see the attached file for details. | See the attached file for details |
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了大無極變種F(Worm.Sobig.F)病毒。
大無極”變種病毒造成路由器阻塞
如今計算機在日常通信、工作和學習中已經成為一種必需的工具,一旦計算機網路癱瘓,造成的影響和損失將會難以估計。遇到“大無極”變種蠕蟲病毒發作,從而導致網際網路與區域網間的癱瘓。
公司的區域網有40台計算機,ISP是中國網通,網通將光纜鋪設進大樓,大樓內由ISP架設區域網到樓內各公司的網路或單機進行網際網路服務,公司通過路由將線路連通,實現內部區域網和網際網路、區域網間的VPN以及與總公司的IP電話通訊,大致布局見圖。
故障癥狀
區域網內所有客戶端訪問網際網路或收發電子郵件、VPN訪問、IP電話均出現時通時不通的現象,而通也是很短暫的,不通的現象更廣泛。區域網內的互訪正常,電子郵件服務系統工作良好,交換機的信號燈閃爍也很正常,但路由器的信號燈不停地快速閃爍,就像在下載巨大文件(在使用VOIP時,路由器信號燈時會快速地閃爍)。
分析診斷
出現這樣的情況時,首先關閉整個網路,重新開機。此時,上述故障消除,但不久又故伎重演。既然是路由器信號燈出現異常,會不會是ISP端有問題?拔下ISP提供的連接線,信號燈正常,插上不多時又重現故障,這樣,問題的重心就轉移到這到底是由內部引起還是外部造成的。用一台筆記本電腦設置好ISP的參數,將ISP提供的連接網線插上,現在瀏覽網頁、收發電子郵件十分正常,問題顯然出在內部客戶端或者路由器上。
經過更換路由器,故障依舊,問題一下就集中在內部局網中的客戶端了,將筆記本電腦連接到區域網中,Ping路由器的局域端IP地址,發現不通,重新開關路由器,再Ping路由器的局域端IP地址,通了,繼續幾下又不通了,再開關路由器並在Ping命令中加入參數t連續Ping路由器的局域端IP地址,發現顯示用時從time<10ms到Pequest timed out的過程是指數級擴大,而且通過次數只有六七次。
解決方法
從上述的分析測試中證明區域網內肯定有客戶端在強佔出口通道,對外連續不斷發送信號,這種情況表明一定是有客戶端已經中毒,關鍵是要找出到底是哪一台機器出問題。筆者使用排除法對接觸外界比較頻繁的機器(如:人事招聘、銷售、總台等使用的機器)進行逐一斷網診斷,當檢查到總台使用的機器並將它斷網時,原本使用Ping命令不通的,現在立即出現正常信號,重新再作進一步認證,終於找到問題機器,立刻斷開該計算機,網路各項指標運行正常。
由於問題機器是“大無極”變種病毒發作造成路由器阻塞,從而使其他客戶端不能正常訪問網際網路等。接下來就是用最新版的殺毒軟體進行殺毒。
總結
⒈目前看到較多的是網站或區域網中各類伺服器中毒不能正常提供服務,而網路各用戶中毒造成路由器或網關癱瘓的例子確實不多見,希望大家能多注意這方面的問題。
⒉更新最新防毒軟體及病毒庫是防範病毒攻擊的理想且有效的武器。公司的計算機就是因為沒有及時更新最新版本的防毒軟體而發生了網路堵塞的現象。
2003年11月,聯邦調查局聯合發布公告,巨額懸賞緝拿八月份以來風靡全球的兩大計算機病毒的製造者,總獎金高達50萬美元。
據悉,微軟給這兩位通緝犯定下的獎賞金額分別為25萬美元,而據發言人稱,微軟另外還準備了450萬美元作為未來支付相關或者類似酬勞的備用資金。
自2003年8月11日以來,“衝擊波”和“大無極”病毒給全世界帶來了巨大的麻煩,蠕蟲肆無忌憚的挑戰導致了至少50萬台電腦的崩潰,並嚴重阻塞了整個網際網路的正常運作。時至今日,美國當局仍然只是對六位“衝擊波”病毒變種作者中的三位有所了解,而兩大病毒的源作者則依然遊離於法網之外。
此次,全球首富蓋茨以美國西部警匪片的特有風格貼出了這張緝匪告示,可見“衝擊波”與“大無極”這兩牛仔哥們一定讓微軟腰包進帳損失了不少,不過話說回來,蓋茨若是不出此招,今後恐怕也難以服眾。
Sobig.F病毒能賺錢!病毒作者還會推出新變體
全研究人員認為,Sobig病毒的製造者不會在編寫完Sobig.F病毒之後就罷手,因為這個病毒能夠賺錢,真是太好了。
Sobig系列病毒是在2003年1月開始首次傳播的。這種病毒攜帶一種特殊的軟體,能夠匿名向人們的電腦發送垃圾電子郵件。成千上萬台計算機被這種病毒感染之後能夠被大量的電子郵件發送者用來發送不能被跟蹤的垃圾郵件。
F-Secure安全公司負責殺毒研究的經理Hypponen表示,這個病毒策劃周密、設計完美而且執行起來非常好。他認為,這個病毒的作者很可能向垃圾郵件製造者出售被這種病毒感染的計算機目錄。我們還第一次看到編寫病毒有這樣好的動機:賺錢。
安全專家表示,Sobig也許是第一個用來賺錢的病毒。這就意味著編寫這種病毒最新變體的團伙或者個人不會就此罷手。新的病毒變體將很快出現。儘管執法部門在努力追查這種病毒的作者,但是,這些作者知道如何使用代理伺服器,要抓到他們可能也不太容易。
據Easynews.c添加內容,圖片,概述,修改目錄om網站稱,病毒的作者在Usenet新聞組中貼出了一個攜帶這種病毒黃色照片,於是這個病毒就傳播出去了。貼出這個黃色照片的網路用戶帳號是用偷來的信用卡辦的。
美國聯邦調查局對此消息沒有發表評論。