)W32.Datom.Worm
发现: 2002 年 7 月 8 日
更新: 2007 年 2 月 13 日 11:40:12 AM
别名: W32/Datom-A 【Sophos】, Win32.Datom 【CA】, W32/Datom.worm 【McAfee】, Datom 【F-Prot】, Worm.Win32.Datom 【KAV】, WORM_DATOM.A 【Trend】, W32/Datom 【Panda】, Win32/Datom.worm 【RAV】
类型: Worm
感染长度: 58,368 bytes (Msvxd.exe);54,784 bytes (Msvxd16.dll);81,408 bytes (Msvxd32.dll)
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
由于提交率的提高,Symantec 安全响应中心自 2002 年 7 月 23 日起,将 W32.Datom.Worm 的威胁级别从 2 类升级为 3 类。
W32.Datom.Worm 是一种通过开放的共享资源传播的蠕虫。此蠕虫不包含有破坏性的有效载荷。
如果您在网络上或一直与 Internet 保持连接,Symantec 建议禁用或用密码保护文件共享。因为此蠕虫像许多其它蠕虫一样,是通过网络计算机上的共享文件夹传播,为确保蠕虫被删除后不会再感染计算机, Symantec 建议使用只读访问权限或密码保护进行共享。有关如何完成此操作的指导,请参阅 Windows 文档或文档:如何配置共享 Windows 文件夹以尽可能的保护网络。(英文)
防护
* 病毒定义(每周 LiveUpdate™) 2002 年 7 月 8 日
* 病毒定义(智能更新程序) 2002 年 7 月 8 日
威胁评估
广度
* 广度级别: Low
* 感染数量: More than 1000
* 站点数量: More than 10
* 地理位置分布: Medium
* 威胁抑制: Easy
* 清除: Moderate
损坏
* 损坏级别: Low
分发
* 分发级别: High
* 共享驱动器: Spreads across open shares
W32.Datom.Worm 包括下列三个文件:
* Msvxd.exe
* Msvxd16.dll
* Msvxd32.dll
这些文件位于 %Windir% 文件夹中。
注意:%Windir% 是一个变量。蠕虫会找到 Windows 主安装文件夹(默认位置是 C:\Windows 或 C:\Winnt),然后将自身复制到该位置。
每个文件中的任务都进行了适当的划分,以尽量避开启发式检测:
* Msvxd.exe 仅运行 Msvxd16.dll。
* Msvxd16.dll 首先在注册表中添加对 Msvxd.exe 的引用,然后运行 Msvxd32.dll。
* Msvxd32.dll 枚举网络共享资源,将这三个文件全部复制到这些共享资源的 %Windir% 文件夹,然后在 Win.ini 中的 Run= 命令行内添加对 Msvxd.exe 的引用。
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
注意:以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
1. 更新病毒定义。
2. 以安全模式重新启动。
3. 删除下列值
MSVXD
该值位于注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 从 Win.ini 文件中删除引用了 Msvxd.exe 的 Run= 命令行
5. 运行完整的系统扫描,并删除所有被检测为 W32.Datom.Worm 的文件。
有关如何完成此操作的详细信息,请参阅下列指导。
获得最新的病毒定义:
可通过两种方法获得:
o 运行 LiveUpdate,这是获得病毒定义最简便的方法。这些病毒定义经过 Symantec 安全响应中心的全面质量监控检测,如果未遇重大病毒爆发情况,会每周在 LiveUpdate 服务器上发布一次(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。
o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义已经过 Symantec 安全响应中心的全面质量监控检测,会在工作日(周一至周五,美国时间)发布。必须从 Symantec 安全响应中心 Web 站点下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。
“智能更新程序” 病毒定义可从此处获得。有关如何从 Symantec 安全响应中心 Web 站点下载和安装“智能更新程序”病毒定义的详细指导,请单击此处。
以安全模式重新启动:
1. 关闭计算机,关掉电源,然后等待 30 秒。
2. 以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机(英文)。
从 Win.ini 文件中删除引用:
注意:(仅适用于 Windows Me 用户)由于 Windows Me 具有文件防护功能,因此 C:\Windows\Recent 文件夹中存在要编辑文件的一个备份副本。Symantec 建议在继续下一部分中的操作之前删除此文件。要使用 Windows 资源管理器完成此操作,请转至 C:\Windows\Recent,然后在右窗格中选中 Win.ini 文件并将其删除。将更改保存到要编辑的文件时,会重新生成此文件的一个副本。
1. 单击“开始”,然后单击“运行”。
2. 键入以下内容,然后单击“确定”:
edit c:\windows\win.ini
将打开“MS-DOS 编辑器”。
注意:如果 Windows 安装在其它位置,则用相应的路径代替。
3. 在文件的 【windows】 部分,查找以下面内容开头的行:
run=
4. 如果 run= 行引用了 Msvxd.exe,请选中整行并将其删除。
5. 单击 File,然后单击 Save。
6. 单击 File,然后单击 Exit。
从注册表删除值:
警告:Symantec 强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。请只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
1. 单击“开始”,然后单击“运行”。出现“运行”对话框。
2. 键入 regedit,然后单击“确定”。“注册表编辑器”打开。
3. 导航至下列键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中,删除下列值:
MSVXD
5. 单击“注册表”,然后单击“退出”。
扫描和删除受感染文件:
1. 启动 Symantec 防病毒软件,并确保已将其配置为扫描所有文件。
o Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
o Symantec 企业版防病毒产品:请阅读文档:如何确定 Symantec 企业版防病毒产品是否已设置为扫描所有文件。
2. 运行完整的系统扫描。
3. 如果有任何文件被检测为感染了 W32.Datom.Worm,请单击“删除”。
4.
描述者: Peter Ferrie
