W32.Gaobot.gen!poly
发现: 2004 年 3 月 19 日
更新: 2007 年 2 月 13 日 12:23:10 PM
别名: W32.HLLW.Polybot, Phatbot, W32/Polybot.l!irc [McAfee], WORM_AGOBOT.HM [Trend], Backdoor.Agobot.hm [Kaspersky]
类型: Worm
感染长度: 278,528 bytes
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
W32.Gaobot.gen!poly 是企图通过使用易破解密码的网络共享传播、使攻击者能够使用预定的 IRC 信道访问受感染计算机的蠕虫。
该蠕虫使用多个漏洞进行传播,其中包括:
* DCOM RPC 漏洞(在 Microsoft 安全公告 MS03-026 中介绍),使用 TCP 端口 135 。
* RPC 定位器漏洞(在 Microsoft 安全公告 MS03-001 中介绍),使用 TCP 端口 445。
* WebDav 漏洞(在 Microsoft 安全公告 MS03-007 中介绍),使用 TCP 端口 80。
注意:
* 日期为 2004 年 3 月 24 日之前的快速发布定义可以将该威胁检测为 W32.HLLW.Polybot。
* 2004 年 2 月 27 日之后、2004 年 3 月 19 日之前发布的病毒定义将该威胁检测为 W32.HLLW.Gaobot.gen。
防护
* 病毒定义(每周 LiveUpdate™) 2004 年 3 月 24 日
* 病毒定义(智能更新程序) 2004 年 3 月 19 日
威胁评估
广度
* 广度级别: Low
* 感染数量: 50 - 999
* 站点数量: More than 10
* 地理位置分布: Low
* 威胁抑制: Moderate
* 清除: Moderate
损坏
* 损坏级别: Medium
* 泄露机密信息: Allows unauthorized remote access.
* 危及安全设置: Terminates antivirus and firewall processes.
分发
* 分发级别: Medium
* 端口: TCP ports 135, 445, 80
* 共享驱动器: Attempts to copy itself to network shares with weak passwords.
W32.Gaobot.gen!poly 运行时会执行下列操作:
1. 将其自身复制为下列文件之一:
* %System%soundman.exe
* %System%confgldr.exe
注意:%System% 是一个变量。蠕虫会找到 System 文件夹,并将自身复制到其中。默认情况下,此文件夹为 C:WindowsSystem (Windows 95/98/Me)、C:WinntSystem32 (Windows NT/2000) 或 C:WindowsSystem32 (Windows XP)。
2. 将下列值之一:
* "^`d}qZxu" = "~`d}qzxu3zYF"
* "Configuration Loader"="confgldr.exe"
添加到以下注册表键:
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
这样,W32.Gaobot.gen!poly 便可在 Windows 启动时运行。
3. 使用以下任一名称为该蠕虫创建服务,并将其设置为在开机时自动运行:
* Configuration Loader
* SoundMan
4. 隐藏所有包含单词“soun”的文件。
5. 将以下行添加到 %System%driversetchosts 文件:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
6. 使用它自己的 IRC客户端连接预定义的 IRC 信道,并监听命令。
7. 允许攻击者远程控制受感染的计算机并执行以下任意操作:
* 下载并执行文件
* 窃取系统信息
* 获取电子邮件地址
* 窃取各游戏的 CD 密钥
8. 利用以下漏洞尝试传播到其他系统:
* DCOM RPC 漏洞(在 Microsoft 安全公告 MS03-026 中介绍),使用 TCP 端口 135 。
* RPC 定位器漏洞(在 Microsoft 安全公告 MS03-001 中介绍),使用 TCP 端口 445。
* WebDav 漏洞(在 Microsoft 安全公告 MS03-007 中介绍),使用 TCP 端口 80。
9. 探查以下共享:
* c$
* print$
* c
* d$
* e$
* admin$
使用以下用户名和密码以及使用 NetUserEnum ( ) 找到的所有用户名:
用户
* <empty>
* a
* aaa
* abc
* admin
* Administrador
* administrador
* Administrateur
* administrator
* Administrat
* admins
* asdf
* computer
* Convidado
* Coordinatore
* database
* Default
* Dell
* Gast
* Guest
* home
* Inviter
* kanri
* kanri-sha
* login
* mary
* mgmt
* mysql
* OEM
* Ospite
* Owner
* owner
* OWNER
* pc
* qwer
* root
* server
* Standard
* student
* teacher
* temp
* Test
* test
* User
* user
* Verwalter
* win
* wwwadmin
* x
* xp
* xyz
密码:
* 0
* 1
* 7
* 12
* 69
* 110
* 111
* 123
* 666
* 1234
* 2002
* 2003
* 2004
* 2600
* 12345
* 54321
* 111111
* 121212
* 123123
* 123456
* 654321
* 1234567
* 11111111
* 12345678
* 88888888
* 123456789
* !@#$
* !@#$%
* !@#$%^
* !@#$%^&
* !@#$%^&*
* 1234qwer
* 123abc
* 123asd
* 123qwe
* a
* aaa
* abc
* abc123
* abcd
* ACCESS
* admin
* Admin
* admin123
* Administrador
* administrador
* Administrateur
* ADMINISTRATOR
* administrator
* admins
* alpha
* asdf
* asdfgh
* asdfghjkl
* ASP
* baby
* backdoor
* BACKUP
* BOX
* Box
* box
* changeme
* CNN
* computer
* Coordinatore
* crash
* database
* Default
* devil
* dude
* enable
* feds
* fish
* foobar
* fucked
* gay
* god
* godblessyou
* hax
* home
* homework
* idiot
* ihavenopass
* Internet
* kids
* leet
* linux
* LOCAL
* login
* Login
* lol
* love
* metal
* mybaby
* mybox
* mypass
* mypc
* noob
* oracle
* Ospite
* own
* owned
* owner
* pass
* passwd
* PASSWD
* passwd
* password
* Password
* password123
* pat
* patrick
* pc
* penis
* PHP
* poiuytrewq
* porn
* private
* pussy
* pw
* pwd
* pwned
* qwer
* qwerty
* qwertyuiop
* r00t
* red123
* ROOT
* root
* rooted
* school
* secret
* secrets
* SERVER
* server
* sex
* share
* student
* super
* superman
* supersecret
* sybase
* SYSTEM
* teacher
* TEMP
* temp
* TEST
* test
* test123
* UNIX
* user
* vagina
* Verwalter
* werty
* wh0re
* whore
* win
* windows2k
* windows98
* windowsME
* WindowsXP
* windoze
* work
* wwwadmin
* x
* xp
* xxx
* xxyyzz
* yxcv
* z
* zxcv
* zxcvbnm
10. 通过上述漏洞,将自身复制到任何受感染的计算机。
11. 结束以下与防病毒和防火墙软件相关的进程:
* _AVP32.EXE
* _AVPCC.EXE
* _AVPM.EXE
* ACKWIN32.EXE
* ADAWARE.EXE
* ADVXDWIN.EXE
* AGENTSVR.EXE
* AGENTW.EXE
* ALERTSVC.EXE
* ALEVIR.EXE
* ALOGSERV.EXE
* AMON9X.EXE
* ANTI-TROJAN.EXE
* ANTIVIRUS.EXE
* ANTS.EXE
* APIMONITOR.EXE
* APLICA32.EXE
* APVXDWIN.EXE
* ARR.EXE
* ATCON.EXE
* ATGUARD.EXE
* ATRO55EN.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AU.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTO-PROTECT.NAV80TRY.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVCONSOL.EXE
* AVE32.EXE
* AVGCC32.EXE
* AVGCTRL.EXE
* AVGNT.EXE
* AVGSERV.EXE
* AVGSERV9.EXE
* AVGUARD.EXE
* AVGW.EXE
* AVKPOP.EXE
* AVKSERV.EXE
* AVKSERVICE.EXE
* AVKWCTl9.EXE
* AVLTMAIN.EXE
* AVNT.EXE
* AVP.EXE
* AVP32.EXE
* AVPCC.EXE
* AVPDOS32.EXE
* AVPM.EXE
* AVPTC32.EXE
* AVPUPD.EXE
* AVSCHED32.EXE
* AVSYNMGR.EXE
* AVWIN95.EXE
* AVWINNT.EXE
* AVWUPD.EXE
* AVWUPD32.EXE
* AVWUPSRV.EXE
* AVXMONITOR9X.EXE
* AVXMONITORNT.EXE
* AVXQUAR.EXE
* BACKWEB.EXE
* BARGAINS.EXE
* BD_PROFESSIONAL.EXE
* BEAGLE.EXE
* BELT.EXE
* BIDEF.EXE
* BIDSERVER.EXE
* BIPCP.EXE
* BIPCPEVALSETUP.EXE
* BISP.EXE
* BLACKD.EXE
* BLACKICE.EXE
* BLSS.EXE
* BOOTCONF.EXE
* BOOTWARN.EXE
* BORG2.EXE
* BPC.EXE
* BRASIL.EXE
* BS120.EXE
* BUNDLE.EXE
* BVT.EXE
* CCAPP.EXE
* CCEVTMGR.EXE
* CCPXYSVC.EXE
* CDP.EXE
* CFD.EXE
* CFGWIZ.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFINET.EXE
* CFINET32.EXE
* Claw95.EXE
* CLAW95CF.EXE
* CLEAN.EXE
* CLEANER.EXE
* CLEANER3.EXE
* CLEANPC.EXE
* CLICK.EXE
* CMD32.EXE
* CMESYS.EXE
* CMGRDIAN.EXE
* CMON016.EXE
* CONNECTIONMONITOR.EXE
* CPD.EXE
* CPF9X206.EXE
* CPFNT206.EXE
* CTRL.EXE
* CV.EXE
* CWNB181.EXE
* CWNTDWMO.EXE
* DATEMANAGER.EXE
* DCOMX.EXE
* DEFALERT.EXE
* DEFSCANGUI.EXE
* DEFWATCH.EXE
* DEPUTY.EXE
* DIVX.EXE
* DLLCACHE.EXE
* DLLREG.EXE
* DOORS.EXE
* DPF.EXE
* DPFSETUP.EXE
* DPPS2.EXE
* DRWATSON.EXE
* DRWEB32.EXE
* DRWEBUPW.EXE
* DSSAGENT.EXE
* DVP95.EXE
* DVP95_0.EXE
* ECENGINE.EXE
* EFPEADM.EXE
* EMSW.EXE
* ENT.EXE
* ESAFE.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ESCANV95.EXE
* ESPWATCH.EXE
* ETHEREAL.EXE
* ETRUSTCIPE.EXE
* EVPN.EXE
* EXANTIVIRUS-CNET.EXE
* EXE.AVXW.EXE
* EXPERT.EXE
* EXPLORE.EXE
* F-AGNT95.EXE
* FAMEH32.EXE
* FAST.EXE
* FCH32.EXE
* FIH32.EXE
* FINDVIRU.EXE
* FIREWALL.EXE
* FLOWPROTECTOR.EXE
* FNRB32.EXE
* FPROT.EXE
* F-PROT.EXE
* F-PROT95.EXE
* FP-WIN.EXE
* FP-WIN_TRIAL.EXE
* FRW.EXE
* FSAA.EXE
* FSAV.EXE
* FSAV32.EXE
* FSAV530STBYB.EXE
* FSAV530WTBYB.EXE
* FSAV95.EXE
* FSGK32.EXE
* FSM32.EXE
* FSMA32.EXE
* FSMB32.EXE
* F-STOPW.EXE
* GATOR.EXE
* GBMENU.EXE
* GBPOLL.EXE
* GENERICS.EXE
* GMT.EXE
* GUARD.EXE
* GUARDDOG.EXE
* HACKTRACERSETUP.EXE
* HBINST.EXE
* HBSRV.EXE
* HIJACKTHIS.EXE
* HOTACTIO.EXE
* HOTPATCH.EXE
* HTLOG.EXE
* HTPATCH.EXE
* HWPE.EXE
* HXDL.EXE
* HXIUL.EXE
* IAMAPP.EXE
* IAMSERV.EXE
* IAMSTATS.EXE
* IBMASN.EXE
* IBMAVSP.EXE
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IDLE.EXE
* IEDLL.EXE
* IEDRIVER.EXE
* IEXPLORER.EXE
* IFACE.EXE
* IFW2000.EXE
* INETLNFO.EXE
* INFUS.EXE
* INFWIN.EXE
* INIT.EXE
* INTDEL.EXE
* INTREN.EXE
* IOMON98.EXE
* IPARMOR.EXE
* IRIS.EXE
* ISASS.EXE
* ISRV95.EXE
* ISTSVC.EXE
* JAMMER.EXE
* JDBGMRG.EXE
* JEDI.EXE
* KAVLITE40ENG.EXE
* KAVPERS40ENG.EXE
* KAVPF.EXE
* KAZZA.EXE
* KEENVALUE.EXE
* KERIO-PF-213-EN-WIN.EXE
* KERIO-WRL-421-EN-WIN.EXE
* KERIO-WRP-421-EN-WIN.EXE
* KERNEL32.EXE
* KILLPROCESSSETUP161.EXE
* LAUNCHER.EXE
* LDNETMON.EXE
* LDPRO.EXE
* LDPROMENU.EXE
* LDSCAN.EXE
* LNETINFO.EXE
* LOADER.EXE
* LOCALNET.EXE
* LOCKDOWN.EXE
* LOCKDOWN2000.EXE
* LOOKOUT.EXE
* LORDPE.EXE
* LSETUP.EXE
* LUALL.EXE
* LUAU.EXE
* LUCOMSERVER.EXE
* LUINIT.EXE
* LUSPT.EXE
* MAPISVC32.EXE
* MCAGENT.EXE
* MCMNHDLR.EXE
* MCSHIELD.EXE
* MCTOOL.EXE
* MCUPDATE.EXE
* MCVSRTE.EXE
* MCVSSHLD.EXE
* MD.EXE
* MFIN32.EXE
* MFW2EN.EXE
* MFWENG3.02D30.EXE
* MGAVRTCL.EXE
* MGAVRTE.EXE
* MGHTML.EXE
* MGUI.EXE
* MINILOG.EXE
* MMOD.EXE
* MONITOR.EXE
* MOOLIVE.EXE
* MOSTAT.EXE
* MPFAGENT.EXE
* MPFSERVICE.EXE
* MPFTRAY.EXE
* MRFLUX.EXE
* MSAPP.EXE
* MSBB.EXE
* MSBLAST.EXE
* MSCACHE.EXE
* MSCCN32.EXE
* MSCMAN.EXE
* MSCONFIG.EXE
* MSDM.EXE
* MSDOS.EXE
* MSIEXEC16.EXE
* MSINFO32.EXE
* MSLAUGH.EXE
* MSMGT.EXE
* MSMSGRI32.EXE
* MSSMMC32.EXE
* MSSYS.EXE
* MSVXD.EXE
* MU0311AD.EXE
* MWATCH.EXE
* N32SCANW.EXE
* NAV.EXE
* NAVAP.NAVAPSVC.EXE
* NAVAPSVC.EXE
* NAVAPW32.EXE
* NAVDX.EXE
* NAVENGNAVEX15.NAVLU32.EXE
* NAVLU32.EXE
* NAVNT.EXE
* NAVSTUB.EXE
* NAVW32.EXE
* NAVWNT.EXE
* NC2000.EXE
* NCINST4.EXE
* NDD32.EXE
* NEOMONITOR.EXE
* NEOWATCHLOG.EXE
* NETARMOR.EXE
* NETD32.EXE
* NETINFO.EXE
* NETMON.EXE
* NETSCANPRO.EXE
* NETSPYHUNTER-1.2.EXE
* NETSTAT.EXE
* NETUTILS.EXE
* NISSERV.EXE
* NISUM.EXE
* NMAIN.EXE
* NOD32.EXE
* NORMIST.EXE
* NORTON_INTERNET_SECU_3.0_407.EXE
* NOTSTART.EXE
* NPF40_TW_98_NT_ME_2K.EXE
* NPFMESSENGER.EXE
* NPROTECT.EXE
* NPSCHECK.EXE
* NPSSVC.EXE
* NSCHED32.EXE
* NSSYS32.EXE
* NSTASK32.EXE
* NSUPDATE.EXE
* NT.EXE
* NTRTSCAN.EXE
* NTVDM.EXE
* NTXconfig.EXE
* NUI.EXE
* NUPGRADE.EXE
* NVARCH16.EXE
* NVC95.EXE
* NVSVC32.EXE
* NWINST4.EXE
* NWSERVICE.EXE
* NWTOOL16.EXE
* OLLYDBG.EXE
* ONSRVR.EXE
* OPTIMIZE.EXE
* OSTRONET.EXE
* OTFIX.EXE
* OUTPOST.EXE
* OUTPOSTINSTALL.EXE
* OUTPOSTPROINSTALL.EXE
* PADMIN.EXE
* PANIXK.EXE
* PATCH.EXE
* PAVCL.EXE
* PAVPROXY.EXE
* PAVSCHED.EXE
* PAVW.EXE
* PCC2002S902.EXE
* PCC2K_76_1436.EXE
* PCCIOMON.EXE
* PCCNTMON.EXE
* PCCWIN97.EXE
* PCCWIN98.EXE
* PCDSETUP.EXE
* PCFWALLICON.EXE
* PCIP10117_0.EXE
* PCSCAN.EXE
* PDSETUP.EXE
* PENIS.EXE
* PERISCOPE.EXE
* PERSFW.EXE
* PERSWF.EXE
* PF2.EXE
* PFWADMIN.EXE
* PGMONITR.EXE
* PINGSCAN.EXE
* PLATIN.EXE
* POP3TRAP.EXE
* POPROXY.EXE
* POPSCAN.EXE
* PORTDETECTIVE.EXE
* PORTMONITOR.EXE
* POWERSCAN.EXE
* PPINUPDT.EXE
* PPTBC.EXE
* PPVSTOP.EXE
* PRIZESURFER.EXE
* PRMT.EXE
* PRMVR.EXE
* PROCDUMP.EXE
* PROCESSMONITOR.EXE
* PROCEXPLORERV1.0.EXE
* PROGRAMAUDITOR.EXE
* PROPORT.EXE
* PROTECTX.EXE
* PSPF.EXE
* PURGE.EXE
* PUSSY.EXE
* PVIEW95.EXE
* QCONSOLE.EXE
* QSERVER.EXE
* RAPAPP.EXE
* RAV7.EXE
* RAV7WIN.EXE
* RAV8WIN32ENG.EXE
* RAY.EXE
* RB32.EXE
* RCSYNC.EXE
* REALMON.EXE
* REGED.EXE
* REGEDIT.EXE
* REGEDT32.EXE
* RESCUE.EXE
* RESCUE32.EXE
* RRGUARD.EXE
* RSHELL.EXE
* RTVSCAN.EXE
* RTVSCN95.EXE
* RULAUNCH.EXE
* RUN32DLL.EXE
* RUNDLL.EXE
* RUNDLL16.EXE
* RUXDLL32.EXE
* SAFEWEB.EXE
* SAHAGENT.EXE
* SAVE.EXE
* SAVENOW.EXE
* SBSERV.EXE
* SC.EXE
* SCAM32.EXE
* SCAN32.EXE
* SCAN95.EXE
* SCANPM.EXE
* SCRSCAN.EXE
* SCRSVR.EXE
* SCVHOST.EXE
* SD.EXE
* SERV95.EXE
* SERVICE.EXE
* SERVLCE.EXE
* SERVLCES.EXE
* SETUP_FLOWPROTECTOR_US.EXE
* SETUPVAMEEVAL.EXE
* SFC.EXE
* SGSSFW32.EXE
* SH.EXE
* SHELLSPYINSTALL.EXE
* SHN.EXE
* SHOWBEHIND.EXE
* SMC.EXE
* SMS.EXE
* SMSS32.EXE
* SOAP.EXE
* SOFI.EXE
* SPERM.EXE
* SPF.EXE
* SPHINX.EXE
* SPOLER.EXE
* SPOOLCV.EXE
* SPOOLSV32.EXE
* SPYXX.EXE
* SREXE.EXE
* SRNG.EXE
* SS3EDIT.EXE
* SSG_4104.EXE
* SSGRATE.EXE
* ST2.EXE
* START.EXE
* STCLOADER.EXE
* SUPFTRL.EXE
* SUPPORT.EXE
* SUPPORTER5.EXE
* SVC.EXE
* SVCHOSTC.EXE
* SVCHOSTS.EXE
* SVSHOST.EXE
* SWEEP95.EXE
* SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
* SYMPROXYSVC.EXE
* SYMTRAY.EXE
* SYSEDIT.EXE
* SYSTEM.EXE
* SYSTEM32.EXE
* SYSUPD.EXE
* TASKMG.EXE
* TASKMO.EXE
* TASKMON.EXE
* TAUMON.EXE
* TBSCAN.EXE
* TC.EXE
* TCA.EXE
* TCM.EXE
* TDS2-98.EXE
* TDS2-NT.EXE
* TDS-3.EXE
* TEEKIDS.EXE
* TFAK.EXE
* TFAK5.EXE
* TGBOB.EXE
* TITANIN.EXE
* TITANINXP.EXE
* TRACERT.EXE
* TRICKLER.EXE
* TRJSCAN.EXE
* TRJSETUP.EXE
* TROJANTRAP3.EXE
* TSADBOT.EXE
* TVMD.EXE
* TVTMD.EXE
* UNDOBOOT.EXE
* UPDAT.EXE
* UPDATE.EXE
* UPGRAD.EXE
* UTPOST.EXE
* VBCMSERV.EXE
* VBCONS.EXE
* VBUST.EXE
* VBWIN9X.EXE
* VBWINNTW.EXE
* VCSETUP.EXE
* VET32.EXE
* VET95.EXE
* VETTRAY.EXE
* VFSETUP.EXE
* VIR-HELP.EXE
* VIRUSMDPERSONALFIREWALL.EXE
* VNLAN300.EXE
* VNPC3000.EXE
* VPC32.EXE
* VPC42.EXE
* VPFW30S.EXE
* VPTRAY.EXE
* VSCAN40.EXE
* VSCENU6.02D30.EXE
* VSCHED.EXE
* VSECOMR.EXE
* VSHWIN32.EXE
* VSISETUP.EXE
* VSMAIN.EXE
* VSMON.EXE
* VSSTAT.EXE
* VSWIN9XE.EXE
* VSWINNTSE.EXE
* VSWINPERSE.EXE
* W32DSM89.EXE
* W9X.EXE
* WATCHDOG.EXE
* WEBDAV.EXE
* WEBSCANX.EXE
* WEBTRAP.EXE
* WFINDV32.EXE
* WGFE95.EXE
* WHOSWATCHINGME.EXE
* WIMMUN32.EXE
* WIN32.EXE
* WIN32US.EXE
* WINACTIVE.EXE
* WIN-BUGSFIX.EXE
* WINDOW.EXE
* WINDOWS.EXE
* WININETD.EXE
* WININIT.EXE
* WININITX.EXE
* WINLOGIN.EXE
* WINMAIN.EXE
* WINNET.EXE
* WINPPR32.EXE
* WINRECON.EXE
* WINSERVN.EXE
* WINSSK32.EXE
* WINSTART.EXE
* WINSTART001.EXE
* WINTSK32.EXE
* WINUPDATE.EXE
* WKUFIND.EXE
* WNAD.EXE
* WNT.EXE
* WRADMIN.EXE
* WRCTRL.EXE
* WSBGATE.EXE
* WUPDATER.EXE
* WUPDT.EXE
* WYVERNWORKSFIREWALL.EXE
* XPF202EN.EXE
* ZAPRO.EXE
* ZAPSETUP3001.EXE
* ZATUTOR.EXE
* ZONALM2601.EXE
* ZONEALARM.EXE
12. 尝试删除与其他蠕虫相关的文件和注册表值。
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
以下指导适用于最新和最近的所有 Symantec 防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)。
1. 禁用系统还原 (Windows Me/XP)。
2. 以安全模式或 VGA 模式重新启动计算机。
3. 还原该主机文件。
4. 撤销对注册表的更改(删除该蠕虫添加的服务和 Run 键)。
5. 更新病毒定义。
6. 运行完整的系统扫描,并删除所有检测为 W32.HLLW.Polybot 的文件。
有关每个步骤的详细信息,请阅读以下指导。
开始前的准备工作:
如果在运行 Windows NT/2000/XP,请务必执行或确保已执行了以下操作:
* 创建安全的密码。该病毒会利用易破解的网络密码。(全天候的 Internet 连接,如 DSL 或 Cable,易于受到此类攻击。)
* 按照 Microsoft Microsoft 安全公告 MS03-026 介绍的方法修补 DCOM RPC 漏洞。
* 按照 Microsoft Microsoft 安全公告 MS03-007 介绍的方法修补 WebDav 漏洞。
1. 关闭「系统还原」(Windows Me/XP)
如果您使用的是 Windows Me 或 Windows XP,我们建议您暂时关闭「系统还原」。Windows Me/XP 使用这个预设启用的功能,来还原您计算机上受损的档案。如果病毒、蠕虫或特洛伊木马感染的计算机,「系统还原」可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程序的外来程序修改「系统还原」。因此,防毒程序或是工具并无法移除「系统还原」数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染档案清除,「系统还原」还是很有可能会将受感染的档案一并还原至计算机中。
同时,病毒可能会侦测到「系统还原」数据夹里的威胁,即使您已移除该威胁亦然。
有关如何关闭「系统还原」的说明,请阅读您的 Windows 文件,或下列文章:
* 如何关闭或启用 Windows Me「系统还原」。
* 如何关闭或启用 Windows XP「系统还原」。
注意:当您全部完成了移除程序之后,并且确定威胁已经移除,请依循上述文件中的指示重新启用「系统还原」。
如需其它信息以及关闭 Windows Me「系统还原」的其它方法,请参阅 Microsoft 知识库的文章「病毒防护工具无法清除 _Restore 文件夹中受感染的文件」,文章识别码 (Article ID):Q263455。
2. 以安全模式或 VGA 模式重新启动计算机
关闭计算机,关掉电源。至少等候 30 秒,然后以安全模式或 VGA 模式重新启动计算机。
* Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
* Windows NT 4 用户:将计算机重启到 VGA 模式。
3. 还原该主机文件
以下指导讨论了如何修复 Windows 主机文件以使新增的名称解析项不会禁止您访问防毒厂商的网站。
1. 使用 Windows 资源管理器,在以下位置(如果存在)查找名为“hosts”的文件:
* C:WindowsSystem32DriversEtchosts
* C:WinntSystem32DriversEtchosts
* D:WindowsSystem32DriversEtchosts
* D:WinntSystem32DriversEtchosts
2. 双击找到的每个 hosts 文件。
3. 当出现“打开方式”对话框时,滚动列表并选择“记事本”。不要选中“始终使用该程序打开这些文件 ... ”框。
4. 删除该文件中的下列行:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
不要删除以下行:
127.0.0.1 localhost
5. 保存该主机文件。
4. 恢复对注册表所做的变更
注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何备份 Windows 的注册表」文件。
1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
2. 键入 regedit
然后单击“确定”。(将打开注册表编辑器。)
3. 导航至以下键:
* HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
* HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
4. 在右窗格中,删除下列值:
"^`d}qZxu" = "~`d}qzxu3zYF"
"Configuration Loader"="confgldr.exe"
Video Process"="sysconf.exe"
5. 定位到下列键,然后将其删除:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSoundMan
6. 退出注册表编辑器。
7. 以标准模式重新启动计算机。有关指导,请参阅文档:如何以安全模式启动计算机 中有关返回标准模式的部分。
5. 更新病毒定义文件
赛门铁克安全机制应变中心在将所有病毒定义文件公布于服务器之前已完成品质测试。您可以使用下列两种方式来取得最新的病毒定义文件:
* 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
* 使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
6. 扫描并删除受感染的档案
1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
o Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
o 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
2. 运行完整的系统扫描。
3. 如果检测到任何文件被 W32.Gaobot.gen!poly 感染,请单击“删除”。
描述者: Asuka Yamamoto