W32.Gaobot.gen!poly是企图通过使用易破解密码的网路共享传播、使攻击者能够使用预定的IRC信道访问受感染计算机的蠕虫。感染系统有:Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、Windows XP。
基本介绍
- 中文名:W32.Gaobot.gen!poly
- 发现时间:2004 年 3 月 19 日
- 更新时间:2007 年 2 月 13 日 12:23:10 PM
- 类型::Worm
- 感染长度:278,528 bytes
- 传播途径:网路共享传播
简介
发现
2004 年 3 月 19 日
更新
2007 年 2 月 13 日 12:23:10 PM
别名: W32.HLLW.Polybot, Phatbot, W32/Polybot.l!irc [McAfee], WORM_AGOBOT .HM [Trend], Backdoor.Agobot . hm [Kaspersky]
类型: Worm
感染长度
278,528 bytes
多漏洞传播
该蠕虫使用多个漏洞进行传播,其中包括:
DCOM RPC 漏洞
* DCOM RPC 漏洞(在 Microsoft 安全公告 MS03-026 中介绍),使用 TCP 连线埠 135 。
RPC 定位器漏洞
* RPC 定位器漏洞(在 Microsoft 安全公告 MS03-001 中介绍),使用 TCP 连线埠 445。
WebDav 漏洞
* WebDav 漏洞(在 Microsoft 安全公告 MS03-007 中介绍),使用 TCP 连线埠 80。
注意
* 日期为 2004 年 3 月 24 日之前的快速发布定义可以将该威胁检测为 W32.HLLW.Polybot。
* 2004 年 2 月 27 日之后、2004 年 3 月 19 日之前发布的病毒定义将该威胁检测为 W32.HLLW.Gaobot.gen。
防护
* 病毒定义(每周 LiveUpdate™) 2004 年 3 月 24 日
* 病毒定义(智慧型更新程式) 2004 年 3 月 19 日
威胁评估
广度
* 广度级别: Low
* 感染数量: 50 - 999
* 站点数量: More than 10
* 地理位置分布: Low
* 威胁抑制: Moderate
* 清除: Moderate
损坏
* 损坏级别: Medium
* 泄露机密信息: Allows unauthorized remote access.
* 危及安全设定: Terminates antivirus and firewall processes.
分发
* 分发级别: Medium
* 连线埠: TCP ports 135, 445, 80
* 共享驱动器: Attempts to copy itself to network shares with weak passwords.
W32.Gaobot.gen!poly 运行时会执行下列操作:
1. 将其自身複製为下列档案之一:
* %System%\soundman.exe
* %System%\confgldr.exe
注意:%System% 是一个变数。蠕虫会找到 System 资料夹,并将自身複製到其中。默认情况下,此资料夹为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
2. 将下列值之一:
* "^`d}qZxu" = "~`d}qzxu3zYF"
* "Configuration Loader"="confgldr.exe"
添加到以下注册表键:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
这样,W32.Gaobot.gen!poly 便可在 Windows 启动时运行。
3. 使用以下任一名称为该蠕虫创建服务,并将其设定为在开机时自动运行:
* Configuration Loader
* SoundMan
4. 隐藏所有包含单词“soun”的档案。
5. 将以下行添加到 %System%\drivers\etc\hosts 档案:
6. 使用它自己的 IRC客户端连线预定义的 IRC 信道,并监听命令。
7. 允许攻击者远程控制受感染的计算机并执行以下任意操作:
* 下载并执行档案
* 窃取系统信息
* 获取电子邮件地址
* 窃取各游戏的 CD 密钥
8. 利用以下漏洞尝试传播到其他系统:
* DCOM RPC 漏洞(在 Microsoft 安全公告 MS03-026 中介绍),使用 TCP 连线埠 135 。
* RPC 定位器漏洞(在 Microsoft 安全公告 MS03-001 中介绍),使用 TCP 连线埠 445。
* WebDav 漏洞(在 Microsoft 安全公告 MS03-007 中介绍),使用 TCP 连线埠 80。
9. 探查以下共享:
* c$
* print$
* c
* d$
* e$
* admin$
使用以下用户名和密码以及使用 NetUserEnum ( ) 找到的所有用户名:
用户
* <empty>
* a
* aaa
* abc
* admin
* Administrador
* administrador
* Administrateur
* administrator
* Administrat?
* admins
* asdf
* computer
* Convidado
* Coordinatore
* database
* Default
* Dell
* Gast
* Guest
* home
* Inviter
* kanri
* kanri-sha
* login
* mary
* mgmt
* mysql
* OEM
* Ospite
* Owner
* owner
* OWNER
* pc
* qwer
* root
* server
* Standard
* student
* teacher
* temp
* Test
* test
* User
* user
* Verwalter
* win
* wwwadmin
* x
* xp
* xyz
密码:
* 0
* 1
* 7
* 12
* 69
* 110
* 111
* 123
* 666
* 1234
* 2002
* 2003
* 2004
* 2600
* 12345
* 54321
* 111111
* 121212
* 123123
* 123456
* 654321
* 1234567
* 11111111
* 12345678
* 88888888
* 123456789
* !@#$
* !@#$%
* !@#$%^
* !@#$%^&
* !@#$%^&*
* 1234qwer
* 123abc
* 123asd
* 123qwe
* a
* aaa
* abc
* abc123
* abcd
* ACCESS
* admin
* Admin
* admin123
* Administrador
* administrador
* Administrateur
* ADMINISTRATOR
* administrator
* admins
* alpha
* asdf
* asdfgh
* asdfghjkl
* ASP
* baby
* backdoor
* BACKUP
* BOX
* Box
* box
* changeme
* CNN
* computer
* Coordinatore
* crash
* database
* Default
* devil
* dude
* enable
* feds
* fish
* foobar
* fucked
* gay
* god
* godblessyou
* hax
* home
* homework
* idiot
* ihavenopass
* Internet
* kids
* leet
* linux
* LOCAL
* login
* Login
* lol
* love
* metal
* mybaby
* mybox
* mypass
* mypc
* noob
* oracle
* Ospite
* own
* owned
* owner
* pass
* passwd
* PASSWD
* passwd
* password
* Password
* password123
* pat
* patrick
* pc
* penis
* PHP
* poiuytrewq
* porn
* private
* pussy
* pw
* pwd
* pwned
* qwer
* qwerty
* qwertyuiop
* r00t
* red123
* ROOT
* root
* rooted
* school
* secret
* secrets
* SERVER
* server
* sex
* share
* student
* super
* superman
* supersecret
* sybase
* SYSTEM
* teacher
* TEMP
* temp
* TEST
* test
* test123
* UNIX
* user
* vagina
* Verwalter
* werty
* wh0re
* whore
* win
* windows2k
* windows98
* windowsME
* WindowsXP
* windoze
* work
* wwwadmin
* x
* xp
* xxx
* xxyyzz
* yxcv
* z
* zxcv
* zxcvbnm
10. 通过上述漏洞,将自身複製到任何受感染的计算机。
11. 结束以下与防病毒和防火墙软体相关的进程:
* _AVP32.EXE
* _AVPCC.EXE
* _AVPM.EXE
* ACKWIN32.EXE
* ADAWARE.EXE
* ADVXDWIN.EXE
* AGENTSVR.EXE
* AGENTW.EXE
* ALERTSVC.EXE
* ALEVIR.EXE
* ALOGSERV.EXE
* AMON9X.EXE
* ANTI-TROJAN.EXE
* ANTIVIRUS.EXE
* ANTS.EXE
* APIMONITOR.EXE
* APLICA32.EXE
* APVXDWIN.EXE
* ARR.EXE
* ATCON.EXE
* ATGUARD.EXE
* ATRO55EN.EXE
* ATUPDATER.EXE
* ATWATCH.EXE
* AU.EXE
* AUPDATE.EXE
* AUTODOWN.EXE
* AUTO-PROTECT.NAV80TRY.EXE
* AUTOTRACE.EXE
* AUTOUPDATE.EXE
* AVCONSOL.EXE
* AVE32.EXE
* AVGCC32.EXE
* AVGCTRL.EXE
* AVGNT.EXE
* AVGSERV.EXE
* AVGSERV9.EXE
* AVGUARD.EXE
* AVGW.EXE
* AVKPOP.EXE
* AVKSERV.EXE
* AVKSERVICE.EXE
* AVKWCTl9.EXE
* AVLTMAIN.EXE
* AVNT.EXE
* AVP.EXE
* AVP32.EXE
* AVPCC.EXE
* AVPDOS32.EXE
* AVPM.EXE
* AVPTC32.EXE
* AVPUPD.EXE
* AVSCHED32.EXE
* AVSYNMGR.EXE
* AVWIN95.EXE
* AVWINNT.EXE
* AVWUPD.EXE
* AVWUPD32.EXE
* AVWUPSRV.EXE
* AVXMONITOR9X.EXE
* AVXMONITORNT.EXE
* AVXQUAR.EXE
* BACKWEB.EXE
* BARGAINS.EXE
* BD_PROFESSIONAL.EXE
* BEAGLE.EXE
* BELT.EXE
* BIDEF.EXE
* BIDSERVER.EXE
* BIPCP.EXE
* BIPCPEVALSETUP.EXE
* BISP.EXE
* BLACKD.EXE
* BLACKICE.EXE
* BLSS.EXE
* BOOTCONF.EXE
* BOOTWARN.EXE
* BORG2.EXE
* BPC.EXE
* BRASIL.EXE
* BS120.EXE
* BUNDLE.EXE
* BVT.EXE
* CCAPP.EXE
* CCEVTMGR.EXE
* CCPXYSVC.EXE
* CDP.EXE
* CFD.EXE
* CFGWIZ.EXE
* CFIADMIN.EXE
* CFIAUDIT.EXE
* CFINET.EXE
* CFINET32.EXE
* Claw95.EXE
* CLAW95CF.EXE
* CLEAN.EXE
* CLEANER.EXE
* CLEANER3.EXE
* CLEANPC.EXE
* CLICK.EXE
* CMD32.EXE
* CMESYS.EXE
* CMGRDIAN.EXE
* CMON016.EXE
* CONNECTIONMONITOR.EXE
* CPD.EXE
* CPF9X206.EXE
* CPFNT206.EXE
* CTRL.EXE
* CV.EXE
* CWNB181.EXE
* CWNTDWMO.EXE
* DATEMANAGER.EXE
* DCOMX.EXE
* DEFALERT.EXE
* DEFSCANGUI.EXE
* DEFWATCH.EXE
* DEPUTY.EXE
* DIVX.EXE
* DLLCACHE.EXE
* DLLREG.EXE
* DOORS.EXE
* DPF.EXE
* DPFSETUP.EXE
* DPPS2.EXE
* DRWATSON.EXE
* DRWEB32.EXE
* DRWEBUPW.EXE
* DSSAGENT.EXE
* DVP95.EXE
* DVP95_0.EXE
* ECENGINE.EXE
* EFPEADM.EXE
* EMSW.EXE
* ENT.EXE
* ESAFE.EXE
* ESCANH95.EXE
* ESCANHNT.EXE
* ESCANV95.EXE
* ESPWATCH.EXE
* ETHEREAL.EXE
* ETRUSTCIPE.EXE
* EVPN.EXE
* EXANTIVIRUS-CNET.EXE
* EXE.AVXW.EXE
* EXPERT.EXE
* EXPLORE.EXE
* F-AGNT95.EXE
* FAMEH32.EXE
* FAST.EXE
* FCH32.EXE
* FIH32.EXE
* FINDVIRU.EXE
* FIREWALL.EXE
* FLOWPROTECTOR.EXE
* FNRB32.EXE
* FPROT.EXE
* F-PROT.EXE
* F-PROT95.EXE
* FP-WIN.EXE
* FP-WIN_TRIAL.EXE
* FRW.EXE
* FSAA.EXE
* FSAV.EXE
* FSAV32.EXE
* FSAV530STBYB.EXE
* FSAV530WTBYB.EXE
* FSAV95.EXE
* FSGK32.EXE
* FSM32.EXE
* FSMA32.EXE
* FSMB32.EXE
* F-STOPW.EXE
* GATOR.EXE
* GBMENU.EXE
* GBPOLL.EXE
* GENERICS.EXE
* GMT.EXE
* GUARD.EXE
* GUARDDOG.EXE
* HACKTRACERSETUP.EXE
* HBINST.EXE
* HBSRV.EXE
* HIJACKTHIS.EXE
* HOTACTIO.EXE
* HOTPATCH.EXE
* HTLOG.EXE
* HTPATCH.EXE
* HWPE.EXE
* HXDL.EXE
* HXIUL.EXE
* IAMAPP.EXE
* IAMSERV.EXE
* IAMSTATS.EXE
* IBMASN.EXE
* IBMAVSP.EXE
* ICLOAD95.EXE
* ICLOADNT.EXE
* ICMON.EXE
* ICSUPP95.EXE
* ICSUPPNT.EXE
* IDLE.EXE
* IEDLL.EXE
* IEDRIVER.EXE
* IEXPLORER.EXE
* IFACE.EXE
* IFW2000.EXE
* INETLNFO.EXE
* INFUS.EXE
* INFWIN.EXE
* INIT.EXE
* INTDEL.EXE
* INTREN.EXE
* IOMON98.EXE
* IPARMOR.EXE
* IRIS.EXE
* ISASS.EXE
* ISRV95.EXE
* ISTSVC.EXE
* JAMMER.EXE
* JDBGMRG.EXE
* JEDI.EXE
* KAVLITE40ENG.EXE
* KAVPERS40ENG.EXE
* KAVPF.EXE
* KAZZA.EXE
* KEENVALUE.EXE
* KERIO-PF-213-EN-WIN.EXE
* KERIO-WRL-421-EN-WIN.EXE
* KERIO-WRP-421-EN-WIN.EXE
* KERNEL32.EXE
* KILLPROCESSSETUP161.EXE
* LAUNCHER.EXE
* LDNETMON.EXE
* LDPRO.EXE
* LDPROMENU.EXE
* LDSCAN.EXE
* LNETINFO.EXE
* LOADER.EXE
* LOCALNET.EXE
* LOCKDOWN.EXE
* LOCKDOWN2000.EXE
* LOOKOUT.EXE
* LORDPE.EXE
* LSETUP.EXE
* LUALL.EXE
* LUAU.EXE
* LUCOMSERVER.EXE
* LUINIT.EXE
* LUSPT.EXE
* MAPISVC32.EXE
* MCAGENT.EXE
* MCMNHDLR.EXE
* MCSHIELD.EXE
* MCTOOL.EXE
* MCUPDATE.EXE
* MCVSRTE.EXE
* MCVSSHLD.EXE
* MD.EXE
* MFIN32.EXE
* MFW2EN.EXE
* MFWENG3.02D30.EXE
* MGAVRTCL.EXE
* MGAVRTE.EXE
* MGHTML.EXE
* MGUI.EXE
* MINILOG.EXE
* MMOD.EXE
* MONITOR.EXE
* MOOLIVE.EXE
* MOSTAT.EXE
* MPFAGENT.EXE
* MPFSERVICE.EXE
* MPFTRAY.EXE
* MRFLUX.EXE
* MSAPP.EXE
* MSBB.EXE
* MSBLAST.EXE
* MSCACHE.EXE
* MSCCN32.EXE
* MSCMAN.EXE
* MSCONFIG.EXE
* MSDM.EXE
* MSDOS.EXE
* MSIEXEC16.EXE
* MSINFO32.EXE
* MSLAUGH.EXE
* MSMGT.EXE
* MSMSGRI32.EXE
* MSSMMC32.EXE
* MSSYS.EXE
* MSVXD.EXE
* MU0311AD.EXE
* MWATCH.EXE
* N32SCANW.EXE
* NAV.EXE
* NAVAP.NAVAPSVC.EXE
* NAVAPSVC.EXE
* NAVAPW32.EXE
* NAVDX.EXE
* NAVENGNAVEX15.NAVLU32.EXE
* NAVLU32.EXE
* NAVNT.EXE
* NAVSTUB.EXE
* NAVW32.EXE
* NAVWNT.EXE
* NC2000.EXE
* NCINST4.EXE
* NDD32.EXE
* NEOMONITOR.EXE
* NEOWATCHLOG.EXE
* NETARMOR.EXE
* NETD32.EXE
* NETINFO.EXE
* NETMON.EXE
* NETSCANPRO.EXE
* NETSPYHUNTER-1.2.EXE
* NETSTAT.EXE
* NETUTILS.EXE
* NISSERV.EXE
* NISUM.EXE
* NMAIN.EXE
* NOD32.EXE
* NORMIST.EXE
* NORTON_INTERNET_SECU_3.0_407.EXE
* NOTSTART.EXE
* NPF40_TW_98_NT_ME_2K.EXE
* NPFMESSENGER.EXE
* NPROTECT.EXE
* NPSCHECK.EXE
* NPSSVC.EXE
* NSCHED32.EXE
* NSSYS32.EXE
* NSTASK32.EXE
* NSUPDATE.EXE
* NT.EXE
* NTRTSCAN.EXE
* NTVDM.EXE
* NTXconfig.EXE
* NUI.EXE
* NUPGRADE.EXE
* NVARCH16.EXE
* NVC95.EXE
* NVSVC32.EXE
* NWINST4.EXE
* NWSERVICE.EXE
* NWTOOL16.EXE
* OLLYDBG.EXE
* ONSRVR.EXE
* OPTIMIZE.EXE
* OSTRONET.EXE
* OTFIX.EXE
* OUTPOST.EXE
* OUTPOSTINSTALL.EXE
* OUTPOSTPROINSTALL.EXE
* PADMIN.EXE
* PANIXK.EXE
* PATCH.EXE
* PAVCL.EXE
* PAVPROXY.EXE
* PAVSCHED.EXE
* PAVW.EXE
* PCC2002S902.EXE
* PCC2K_76_1436.EXE
* PCCIOMON.EXE
* PCCNTMON.EXE
* PCCWIN97.EXE
* PCCWIN98.EXE
* PCDSETUP.EXE
* PCFWALLICON.EXE
* PCIP10117_0.EXE
* PCSCAN.EXE
* PDSETUP.EXE
* PENIS.EXE
* PERISCOPE.EXE
* PERSFW.EXE
* PERSWF.EXE
* PF2.EXE
* PFWADMIN.EXE
* PGMONITR.EXE
* PINGSCAN.EXE
* PLATIN.EXE
* POP3TRAP.EXE
* POPROXY.EXE
* POPSCAN.EXE
* PORTDETECTIVE.EXE
* PORTMONITOR.EXE
* POWERSCAN.EXE
* PPINUPDT.EXE
* PPTBC.EXE
* PPVSTOP.EXE
* PRIZESURFER.EXE
* PRMT.EXE
* PRMVR.EXE
* PROCDUMP.EXE
* PROCESSMONITOR.EXE
* PROCEXPLORERV1.0.EXE
* PROGRAMAUDITOR.EXE
* PROPORT.EXE
* PROTECTX.EXE
* PSPF.EXE
* PURGE.EXE
* PUSSY.EXE
* PVIEW95.EXE
* QCONSOLE.EXE
* QSERVER.EXE
* RAPAPP.EXE
* RAV7.EXE
* RAV7WIN.EXE
* RAV8WIN32ENG.EXE
* RAY.EXE
* RB32.EXE
* RCSYNC.EXE
* REALMON.EXE
* REGED.EXE
* REGEDIT.EXE
* REGEDT32.EXE
* RESCUE.EXE
* RESCUE32.EXE
* RRGUARD.EXE
* RSHELL.EXE
* RTVSCAN.EXE
* RTVSCN95.EXE
* RULAUNCH.EXE
* RUN32DLL.EXE
* RUNDLL.EXE
* RUNDLL16.EXE
* RUXDLL32.EXE
* SAFEWEB.EXE
* SAHAGENT.EXE
* SAVE.EXE
* SAVENOW.EXE
* SBSERV.EXE
* SC.EXE
* SCAM32.EXE
* SCAN32.EXE
* SCAN95.EXE
* SCANPM.EXE
* SCRSCAN.EXE
* SCRSVR.EXE
* SCVHOST.EXE
* SD.EXE
* SERV95.EXE
* SERVICE.EXE
* SERVLCE.EXE
* SERVLCES.EXE
* SETUP_FLOWPROTECTOR_US.EXE
* SETUPVAMEEVAL.EXE
* SFC.EXE
* SGSSFW32.EXE
* SH.EXE
* SHELLSPYINSTALL.EXE
* SHN.EXE
* SHOWBEHIND.EXE
* SMC.EXE
* SMS.EXE
* SMSS32.EXE
* SOAP.EXE
* SOFI.EXE
* SPERM.EXE
* SPF.EXE
* SPHINX.EXE
* SPOLER.EXE
* SPOOLCV.EXE
* SPOOLSV32.EXE
* SPYXX.EXE
* SREXE.EXE
* SRNG.EXE
* SS3EDIT.EXE
* SSG_4104.EXE
* SSGRATE.EXE
* ST2.EXE
* START.EXE
* STCLOADER.EXE
* SUPFTRL.EXE
* SUPPORT.EXE
* SUPPORTER5.EXE
* SVC.EXE
* SVCHOSTC.EXE
* SVCHOSTS.EXE
* SVSHOST.EXE
* SWEEP95.EXE
* SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE
* SYMPROXYSVC.EXE
* SYMTRAY.EXE
* SYSEDIT.EXE
* SYSTEM.EXE
* SYSTEM32.EXE
* SYSUPD.EXE
* TASKMG.EXE
* TASKMO.EXE
* TASKMON.EXE
* TAUMON.EXE
* TBSCAN.EXE
* TC.EXE
* TCA.EXE
* TCM.EXE
* TDS2-98.EXE
* TDS2-NT.EXE
* TDS-3.EXE
* TEEKIDS.EXE
* TFAK.EXE
* TFAK5.EXE
* TGBOB.EXE
* TITANIN.EXE
* TITANINXP.EXE
* TRACERT.EXE
* TRICKLER.EXE
* TRJSCAN.EXE
* TRJSETUP.EXE
* TROJANTRAP3.EXE
* TSADBOT.EXE
* TVMD.EXE
* TVTMD.EXE
* UNDOBOOT.EXE
* UPDAT.EXE
* UPDATE.EXE
* UPGRAD.EXE
* UTPOST.EXE
* VBCMSERV.EXE
* VBCONS.EXE
* VBUST.EXE
* VBWIN9X.EXE
* VBWINNTW.EXE
* VCSETUP.EXE
* VET32.EXE
* VET95.EXE
* VETTRAY.EXE
* VFSETUP.EXE
* VIR-HELP.EXE
* VIRUSMDPERSONALFIREWALL.EXE
* VNLAN300.EXE
* VNPC3000.EXE
* VPC32.EXE
* VPC42.EXE
* VPFW30S.EXE
* VPTRAY.EXE
* VSCAN40.EXE
* VSCENU6.02D30.EXE
* VSCHED.EXE
* VSECOMR.EXE
* VSHWIN32.EXE
* VSISETUP.EXE
* VSMAIN.EXE
* VSMON.EXE
* VSSTAT.EXE
* VSWIN9XE.EXE
* VSWINNTSE.EXE
* VSWINPERSE.EXE
* W32DSM89.EXE
* W9X.EXE
* WATCHDOG.EXE
* WEBDAV.EXE
* WEBSCANX.EXE
* WEBTRAP.EXE
* WFINDV32.EXE
* WGFE95.EXE
* WHOSWATCHINGME.EXE
* WIMMUN32.EXE
* WIN32.EXE
* WIN32US.EXE
* WINACTIVE.EXE
* WIN-BUGSFIX.EXE
* WINDOW.EXE
* WINDOWS.EXE
* WININETD.EXE
* WININIT.EXE
* WININITX.EXE
* WINLOGIN.EXE
* WINMAIN.EXE
* WINNET.EXE
* WINPPR32.EXE
* WINRECON.EXE
* WINSERVN.EXE
* WINSSK32.EXE
* WINSTART.EXE
* WINSTART001.EXE
* WINTSK32.EXE
* WINUPDATE.EXE
* WKUFIND.EXE
* WNAD.EXE
* WNT.EXE
* WRADMIN.EXE
* WRCTRL.EXE
* WSBGATE.EXE
* WUPDATER.EXE
* WUPDT.EXE
* WYVERNWORKSFIREWALL.EXE
* XPF202EN.EXE
* ZAPRO.EXE
* ZAPSETUP3001.EXE
* ZATUTOR.EXE
* ZONALM2601.EXE
* ZONEALARM.EXE
12. 尝试删除与其他蠕虫相关的档案和注册表值。
建议
赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
禁用并删除不需要的服务
默认情况下,许多作业系统会安装不必要的辅助服务,如 FTP 伺服器、telnet 和 Web 伺服器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程式更新即可完成。
* 如果混合型威胁攻击了一个或多个网路服务,则在套用补丁程式之前,请禁用或禁止访问这些服务。
始终安装最新的补丁程式
* 始终安装最新的补丁程式,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时套用。
强制执行密码策略
複杂的密码使得受感染计算机上的密码档案难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件,这些档案常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
教育员工不要打开意外收到的附属档案
教育员工不要打开意外收到的附属档案,并且只在进行病毒扫描后才执行从网际网路下载的软体。如果未对某些浏览器漏洞套用补丁程式,那幺访问受感染的网站也会造成病毒感染。
以下指导适用于最新和最近的所有 Symantec 防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)。
1. 禁用系统还原 (Windows Me/XP)。
2. 以安全模式或 VGA 模式重新启动计算机。
3. 还原该主机档案。
4. 撤销对注册表的更改(删除该蠕虫添加的服务和 Run 键)。
5. 更新病毒定义。
6. 运行完整的系统扫描,并删除所有检测为 W32.HLLW.Polybot 的档案。
有关每个步骤的详细信息,请阅读以下指导。
开始前的準备工作:
如果在运行 Windows NT/2000/XP,请务必执行或确保已执行了以下操作:
* 创建安全的密码。该病毒会利用易破解的网路密码。(全天候的 Internet 连线,如 DSL 或 Cable,易于受到此类攻击。)
* 按照 Microsoft Microsoft 安全公告 MS03-026 介绍的方法修补 DCOM RPC 漏洞。
* 按照 Microsoft Microsoft 安全公告 MS03-007 介绍的方法修补 WebDav 漏洞。
1. 关闭「系统还原」(Windows Me/XP)
如果您使用的是 Windows Me 或 Windows XP,我们建议您暂时关闭「系统还原」。Windows Me/XP 使用这个预设启用的功能,来还原您计算机上受损的档案。如果病毒、蠕虫或特洛伊木马感染的计算机,「系统还原」可能会一併将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程式的外来程式修改「系统还原」。因此,防毒程式或是工具并无法移除「系统还原」数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染档案清除,「系统还原」还是很有可能会将受感染的档案一併还原至计算机中。
同时,病毒可能会侦测到「系统还原」数据夹里的威胁,即使您已移除该威胁亦然。
有关如何关闭「系统还原」的说明,请阅读您的 Windows 档案,或下列文章:
* 如何关闭或启用 Windows Me「系统还原」。
* 如何关闭或启用 Windows XP「系统还原」。
注意:当您全部完成了移除程式之后,并且确定威胁已经移除,请依循上述档案中的指示重新启用「系统还原」。
如需其它信息以及关闭 Windows Me「系统还原」的其它方法,请参阅 Microsoft 知识库的文章「病毒防护工具无法清除 _Restore 资料夹中受感染的档案」,文章识别码 (Article ID):。
2. 以安全模式或 VGA 模式重新启动计算机
关闭计算机,关掉电源。至少等候 30 秒,然后以安全模式或 VGA 模式重新启动计算机。
* Windows 95/98/Me/2000/XP 用户:将计算机重启到安全模式。更多信息请参阅文档 如何以安全模式启动计算机 。
* Windows NT 4 用户:将计算机重启到 VGA 模式。
3. 还原该主机档案
以下指导讨论了如何修复 Windows 主机档案以使新增的名称解析项不会禁止您访问防毒厂商的网站。
1. 使用 Windows 资源管理器,在以下位置(如果存在)查找名为“hosts”的档案:
* C:\Windows\System32\Drivers\Etc\hosts
* C:\Winnt\System32\Drivers\Etc\hosts
* D:\Windows\System32\Drivers\Etc\hosts
* D:\Winnt\System32\Drivers\Etc\hosts
2. 双击找到的每个 \hosts 档案。
3. 当出现“打开方式”对话框时,滚动列表并选择“记事本”。不要选中“始终使用该程式打开这些档案 ... ”框。
4. 删除该档案中的下列行:
不要删除以下行:
127.0.0.1 localhost
5. 保存该主机档案。
4. 恢复对注册表所做的变更
注意:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示,请阅读「如何备份 Windows 的注册表」档案。
1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
2. 键入 regedit
然后单击“确定”。(将打开注册表编辑器。)
3. 导航至以下键:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
4. 在右窗格中,删除下列值:
"^`d}qZxu" = "~`d}qzxu3zYF"
"Configuration Loader"="confgldr.exe"
Video Process"="sysconf.exe"
5. 定位到下列键,然后将其删除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SoundMan
6. 退出注册表编辑器。
7. 以标準模式重新启动计算机。有关指导,请参阅文档:如何以安全模式启动计算机 中有关返回标準模式的部分。
5. 更新病毒定义档案
赛门铁克安全机制应变中心在将所有病毒定义档案公布于伺服器之前已完成品质测试。您可以使用下列两种方式来取得最新的病毒定义档案:
* 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 伺服器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
* 使用智慧型更新程式下载病毒定义:智慧型更新程式病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全回响中心网站下载病毒定义并手动进行安装。要确定是否可通过智慧型更新程式获取此威胁的定义,请参考病毒定义(智慧型更新程式)。
现在提供智慧型更新程式病毒定义:有关详细说明,请参阅如何使用智慧型更新程式更新病毒定义档案。
扫描删除受感染档案
1. 启动 Symantec 防病毒程式,并确保已将其配置为扫描所有档案。
o Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有档案。
o 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设定为扫描所有档案。
2. 运行完整的系统扫描。
3. 如果检测到任何档案被 W32.Gaobot.gen!poly 感染,请单击“删除”。
描述者: Asuka Yamamoto