Bloodhound.Packed

发现： 2004 年 1 月 19 日

更新： 2007 年 2 月 13 日 12:20:04 PM

类型: Trojan Horse, Worm, Virus

感染长度： various

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

当通过 Symantec Bloodhound 技术发现一种可能的未知病毒时，Symantec 防病毒产品会使用唯一的病毒名称 Bloodhound.Packed。Bloodhound 技术采用了启发式算法，以检测未知病毒。在 Bloodhound.Packed 下检测到的实际文件很可能感染了一种打包的新 32 位 Windows 病毒。

只在可移植的可执行文件 (PE) 中会检测到 Bloodhound.Packed。Bloodhound.Packed 可以检测打包文件内的任何威胁。

防护

* 病毒定义（每周 LiveUpdate™） 2004 年 1 月 21 日

* 病毒定义（智能更新程序） 2004 年 1 月 19 日

威胁评估

广度

* 广度级别： Low

* 感染数量： 0 - 49

* 站点数量： 0 - 2

* 地理位置分布： Low

* 威胁抑制： Easy

* 清除： Easy

损坏

* 损坏级别： Low

分发

* 分发级别： Low

检测为 Bloodhound.Packed 的样本提交给 Symantec 安全响应中心，以识别这些新病毒和变种并为其指定特定的名称。然后，我们可以对它们进行分析并提供有关其特性的更多信息。

要了解如何提交文件，请参阅您的 Symantec 防病毒产品的文档：

* 单机版产品：如果您使用的是 Symantec 单机版防病毒产品，如 Norton AntiVirus 2004，请单击此处。

* 企业版产品：如果您使用的是 Symantec 企业版防病毒产品，如 Norton AntiVirus 企业版 7.0，请单击此处。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写，包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。

1. 关闭「系统还原」(Windows Me/XP)。

2. 更新病毒定义文件。

3. 执行完整的系统扫描，并删除所有侦测到的 Bloodhound.Packed 档案。

如需关于这些步骤的详细信息，请阅读下列指示。

1. 关闭「系统还原」(Windows Me/XP)

如果您使用的是 Windows Me 或 Windows XP，我们建议您暂时关闭「系统还原」。Windows Me/XP 使用这个预设启用的功能，来还原您计算机上受损的档案。如果病毒、蠕虫或特洛伊木马感染的计算机，「系统还原」可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。

Windows 会防止包括防毒程序的外来程序修改「系统还原」。因此，防毒程序或是工具并无法移除「系统还原」数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染档案清除，「系统还原」还是很有可能会将受感染的档案一并还原至计算机中。

同时，病毒可能会侦测到「系统还原」数据夹里的威胁，即使您已移除该威胁亦然。

有关如何关闭「系统还原」的说明，请阅读您的 Windows 文件，或下列文章：

* 如何关闭或启用 Windows Me「系统还原」。

* 如何关闭或启用 Windows XP「系统还原」。

注意：当您全部完成了移除程序之后，并且确定威胁已经移除，请依循上述文件中的指示重新启用「系统还原」。

如需其它信息以及关闭 Windows Me「系统还原」的其它方法，请参阅 Microsoft 知识库的文章「病毒防护工具无法清除 _Restore 文件夹中受感染的文件」，文章识别码 (Article ID)：Q263455。

2. 更新病毒定义文件

赛门铁克安全机制应变中心在将所有病毒定义文件公布于服务器之前已完成品质测试。您可以使用下列两种方式来取得最新的病毒定义文件：

* 执行 LiveUpdate 是获得病毒定义文件的最简单方法：这些病毒定义文件会每星期一次更新到 LiveUpdate 服务器上 (通常是星期三)，当有疫情发生时则例外。若要决定此威胁的定义档是否可由 LiveUpdate 取得，请参阅「病毒定义文件 (LiveUpdate)」。

* 使用 Intelligent Updater 下载定义档：Intelligent Updater 的病毒定义文件会在美国的工作日 (星期一到星期五) 公布。您必须由「赛门铁克安全机制应变中心」网站手动下载及安装定义档。若要决定此威胁的定义档是否可由 Intelligent Updater 取得，请参阅「病毒定义文件 (Intelligent Updater)」。

智能更新程序 (Intelligent Updater)病毒定义文件可由http://securityresponse.symantec.com/avcenter/defs.download.html 处取得。详细指示说明请参阅「如何使用 Intelligent Updater 来更新病毒定义文件」文件。

3. 扫描并删除受感染的档案

1. 启动您的赛门铁克防毒程序，确定已架构为扫描所有档案。

* Norton AntiVirus 消费者产品：请阅读「如何设定 Norton AntiVirus 以扫描所有档案」文章。

* 赛门铁克企业版防毒产品：请阅读「如何确认 Symantec Corporate 防毒产品已设定为扫描所有档案」文章。

2. 执行完整系统扫描。

3. 如果侦测到任何受 Bloodhound.Packed 感染的档案，请按下「删除」。