)W32.Brid.A@mm
发现: 2002 年 11 月 4 日
更新: 2007 年 2 月 13 日 11:41:49 AM
别名: PE_BRID.A 【Trend】, W32/Braid.a@mm 【McAfee】, W32/Braid-A 【Sophos】, Win32.Braid.A 【CA】, I-Worm.Bridex.a 【KAV】, W32/Bride 【Panda】, W32/Bridex.A@mm 【F-Prot】
类型: Worm
感染长度: 114.687 Bytes
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 参考: CVE-2001-0154
由于提交率的提高,Symantec 安全响应中心自 2002 年 11 月 15 日起,将此病毒威胁级别从 2 类升级为 3 类。
W32.Brid.A@mm 是群发邮件型蠕虫病毒,它包含略经修改的 W32.FunLove.4099 变种。W32.Brid.A@mm 运行时,会尝试在系统中插入几个文件并将自身通过邮件进行群发。此蠕虫自身包含 SMTP 引擎,它尝试获取电子邮件服务器的地址并直接与其联系。该电子邮件具有下列特征:
主题:【注册的 Windows 公司名称】
附件:Readme.exe
此蠕虫使用 Internet Explorer 中的已知漏洞,即不正确的 MIME 头可导致 IE 执行电子邮件附件(英文)。
注意:Symantec 防病毒产品可检测到 W32.Funlove.4099 病毒组件,但其病毒定义必须是 1999 年 12 月 8 日或之后发布的。
如果此蠕虫在内存中处于活动状态,会停止各种安全性产品的进程,包括 Norton AntiVirus 和 Symantec AntiVirus。如果发生这种情况,则在使用 Symantec 防病毒产品杀除该蠕虫之前,必须先从内存中删除它。要完成此操作,请按照前一部分“删除蠕虫添加到注册表中的值”中的指导操作,再重新启动计算机,然后按照杀毒指导从头执行操作。
防护
* 病毒定义(每周 LiveUpdate™) 2002 年 11 月 4 日
* 病毒定义(智能更新程序) 2002 年 11 月 4 日
威胁评估
广度
* 广度级别: Low
* 感染数量: More than 1000
* 站点数量: More than 10
* 地理位置分布: Medium
* 威胁抑制: Easy
* 清除: Moderate
损坏
* 损坏级别: Medium
* 大规模发送电子邮件: Emails everyone in the Microsoft Outlook Adress Book, and addresses that if finds in .htm and .dbx files.
* 删除文件: MSconfig.exe in the %system% folder will be overwritten by the worm
* 降低性能: If the virus and/or worm is active in memory, the computer will become slow, and may stop responding occasionally
* 导致系统不稳定: If the worm is active in memory, the computer may crash and/or become completly unresponsive to any commands.
分发
* 分发级别: High
* 电子邮件的主题: Company name as registered in Windows or the same name as in the To: field.
* 附件名称: Readme.exe
* 附件大小: 114,687 Bytes
* 共享驱动器: W32.Funlove.4099 infects files on shared drives
此蠕虫运行时,会首先尝试连接到 www.hotmail.com。如果无法连接,则在蠕虫执行恶意操作之前会有一个短暂的延迟。
接着,蠕虫将在系统中插入几个文件,修改 Windows 注册表,运行略经修改的 W32.Funlove.4099 变种,并将自身通过电子邮件发送给 Microsoft Outlook 通讯簿中的所有联系人。
文件插入
此蠕虫在计算机中插入几个文件。
它将以下文件复制到 Windows 桌面:
o Help.eml
o Explorer.exe
Help.eml 是 Microsoft Outlook Express 文件。如果在未安装修补程序的系统上打开此文件,附件(即蠕虫)将自动运行。此操作利用了已知的漏洞,即不正确的 MIME 头可导致 IE 执行电子邮件附件。
Explorer.exe 是蠕虫的副本。
W32.Brid.A@mm 还将创建下列文件:
o %system%\Bride.exe
o %system%\Msconfig.exe
o %system%\Regedit.exe
注意:%System% 是一个变量。此蠕虫会查找系统文件夹并以 %system%\Regedit.exe 的形式将其自身复制到该位置。默认情况下,此位置为 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
%system%\Bride.exe 和 %system%\Msconfig.exe 包含病毒 W32.Funlove.4099。此蠕虫会执行该文件。
注册表修改
此蠕虫将值
regedit %system%\regedit.exe
添加到注册表键
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以使其在启动 Windows 时运行。
它还会在下列位置添加三个键
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Explorer\RemoteComputer
病毒插入
此蠕虫包含略经修改的 W32.Funlove.4099 变种。蠕虫会尝试执行此病毒。此病毒变种与原 W32.Funlove.4099 的主要区别在于使用的文件名。此变种使用文件名 Bride.exe 而不是 Flcss.exe。
有关详细信息,请参阅 W32.Funlove.4099 的相关文档。
注意:Symantec 防病毒产品可检测到 W32.Funlove.4099 病毒组件,但其病毒定义必须是1999 年 12 月 8 日或之后发布的。
电子邮件例程
此蠕虫自身包含 SMTP 引擎,并且将尝试查找并直接联系电子邮件服务器。
它尝试向 Microsoft Outlook 通讯簿中的每个人以及它在 .htm 及 .dbx 文件中找到的所有电子邮件地址发送电子邮件。此蠕虫发送的电子邮件形式为:
发件人:【注册的 Windows 用户名称】
注意:某些情况下,“发件人:”字段中的文本可能与“收件人:”字段中的文本相同。
主题:【注册的 Windows 公司名称】
邮件正文:
Hello,
Product Name: 【Windows 版本】
Product ID: 【Windows ID】
Product Key: 【密钥】
Process List: 【进程列表】
Thank you.
方括号中的信息取自于受感染的计算机。蠕虫将附加到电子邮件中,如果在未安装修补程序的系统上查看电子邮件,蠕虫将自动运行。
有关此漏洞的详细信息,请参阅 Microsoft Security Bulletin。
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
注意:以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
使用杀毒工具杀毒
Symantec 安全响应中心已提供了用于杀除 W32.Brid.A@mm、W32.Funlove.4099 和 W32.Funlove.int 病毒感染的免费工具。这是杀除病毒的最简单的方法。有关如何获得和使用 W32.Brid.A@mm/W32.Funlove.4099 杀毒工具的完整指导,请单击此处。
手动杀毒
1. 更新病毒定义。
2. 以安全模式重新启动计算机。
3. 运行完整的系统扫描,并修复所有被检测为 W32.Funlove.4099 的文件。删除所有被检测为 W32.Brid.A@mm 或 W32.Funlove.int 的文件。
4. 删除蠕虫添加到注册表键
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
中的值
regedit
有关如何完成这些操作的详细信息,请参阅下列指导。
更新病毒定义:
所有病毒定义在发布至我们的服务器之前,都经过了 Symantec 安全响应中心的全面质量监控测试。可以通过两种方式获得最新的病毒定义:
* 运行 LiveUpdate,这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况,这些病毒定义会在 LiveUpdate 服务器上每周发布一次(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。
* 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日(周一至周五)发布。必须从 Symantec 安全响应中心网站下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。
智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义,请单击这里。
在安全模式下重新启动计算机:
除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
扫描和修复受感染文件:
1. 启动 Symantec 防病毒软件,并确保已将其配置为扫描所有文件。
* Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
* 赛门铁克企业版防病毒产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。
2. 运行完整的系统扫描。
3. 如果检测到任何文件被 W32.Funlove.4099 感染,请单击“修复”。
4. 如果检测到任何文件被 W32.Funlove.int 或 W32.Brid.A@mm 感染,请单击“删除”。
删除蠕虫添加到注册表中的值:
警告:Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
1. 单击“开始”,然后单击“运行”。将出现“运行”对话框。
2. 键入 regedit,然后单击“确定”。将打开“注册表编辑器”。
3. 导航至键
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,删除值
regedit
5. 退出“注册表编辑器”。
描述者: Neal Hindocha
