荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: enjoy (至緊要係讓LP開心~~), 信区: Virus
标 题: W32.Elkern.dam
发信站: 荔园晨风BBS站 (Thu Sep 25 13:20:27 2003), 站内信件
W32.ElKern.4926
发现时间: 2002.04.17
上次更新时间: 2003.09.02
这是 W32.ElKern.3326 病毒的新变种。该变种由 W32.Klez.H@mm 放置。
Symantec 提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成的感
染的工具。单击這裡以获得该工具。这是杀除这些威胁的最简便方法,应
首先尝试此方法。
注意:病毒定义和 2002 年 9 月 10 日的 W32.Klez 杀毒工具(也可消除
ElKern 感染)具有接种疫苗功能。如果受感染的文件得到了 Symantec
AntiVirus 产品或 W32.Klez 杀毒工具的修复,这些文件不会被 W32.
ElKern.4926 再次感染。
该变种的不同之处包括:
防止感染自解压 .rar 和 .zip 归档文件的识别算法(首次出现在 W32.
ElKern.3587)
病毒作者尝试使用改进的加密算法,使检测更困难
排除破坏性的有效荷载
也称为: Win32.Elkern.c [AVP], W32/Elkern.C [Sophos], Win32/WQK.C
[CA], PE_ELKERN.D [Trend], W32/Elkern.cav.c [McAfee]
变种: W32.ElKern.3587, W32.ElKern.3326
类型: Virus
感染长度: 4,926 bytes
受影响的系统: Windows 95, Windows 98, Windows 2000, Windows XP,
Windows Me
未受影响的系统: Windows NT, Macintosh, UNIX, Linux
W32.ElKern.4926 与 W32.Klez.H@mm 蠕虫相关联。该蠕虫在 C:
\Program Files 文件夹中使用随机文件名创建纯粹的病毒体并激活它。然
后,该病毒会自行运行。
像 W32.ElKern.3326 和 W32.ElKern.3587 一样,W32.ElKern.4926 还是
空洞传染源,它会感染在文件夹或子文件夹中随机选择的可移植的可执行
(PE) 文件。它在当前文件夹中开始搜索要感染的文件。然后通过驱动器号
搜索,从任意字母开始搜索到 Z。它还感染本地网络上的开放共享中的文
件。有些受感染文件的大小并不改变。
文件搜索会跳过名称中包含“rary Inter”或“tem32\dllcac”的文件夹
。此外,名称以下列任意字母序列开头的文件也会被跳过:_avp、aler、
amon、anti、nod3、npss、nres、nsch、n32s、avwi、scan、f-st、f-pr
、avp 或 nav。
如果文件是 PE GUI 或不是 .dll 的控制台应用程序、不包含文本“irus
”、不受 Windows 98/Me/2000/XP 中的系统文件检查程序的保护、既不是
WinZip 也不是 RAR 自解压文件,W32.ElKern.4926 就认为该文件是可感
染的。
W32.ElKern.4926 包含一个错误,该错误会导致文件重复感染。这可造成
受感染的文件无法修复。
而且,该病毒变种会尝试将其代码插入所有正在运行的进程中。这会造成
文件在全面系统扫描未发现病毒后再次被感染。
变种 W32.ElKern.3326 和 W32.ElKern.3587 会放置 Wqk.dll 或 Wqk.exe
并在下列注册表键中添加引用它们的值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrrentVersion\Run
与这两个变种不同的是,W32.ElKern.4926 不会放置 Wqk.dll 或 Wqk.
exe,并且不修改任何注册表键。
如果检测到 W32.ElKern.dam,说明存在 W32.ElKern.4926 感染,在这种
情况下,文件会被病毒 W32.Elkern.4926 破坏,或者文件中包含病毒体,
但病毒代码不可能得到主机程序的控制权。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全
习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅
助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了
方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在
补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用
或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访
问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以
破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破
坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .
vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分
析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经
病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网
站也会造成感染。
使用杀毒工具杀毒
Symantec 提供了消除 W32.Klez 和 W32.ElKern 所有已知变种所造成的感
染的工具。这是推荐的方法。单击這裡可以获得该工具。
有关 W32.Klez.gen@mm 检测的说明:如果感染了 W32.Klez 变种,通常会
检测到 W32.Klez.gen@mm。感染了 W32.Klez.gen@mm 的计算机大多也容易
感染 W32.Klez.E@mm 或 W32.Klez.H@mm。如果您的计算机被检测为感染了
W32.Klez.gen@mm,请下载并运行该工具。在多数情况下,该工具可以消
除此类感染。
手动杀毒
注意:如果计算机只感染了 W32.ElKern.4926,可以使用此过程。但如果
计算机还受到 W32.Klez.H@mm 的感染,则此过程不起作用。
运行 LiveUpdate,确保您的病毒定义是最新的。
关闭计算机,关掉电源,然后等待 30 秒。
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位
操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅
文档:如何以安全模式启动计算机。
启动 Norton AntiVirus (NAV),并确保 NAV 配置为扫描所有文件。
Norton AntiVirus 消費者產品:請閱讀「如何設定 Norton AntiVirus 以
掃描所有檔案」文章。
賽門鐵克企業版防毒產品:請閱讀「如何確認 Symantec Corporate
AntiVirus 產品已設定為掃瞄所有檔案」文章。
如果确定任何文件被 W32.ElKern.4926 感染,请单击“修复”。
重新启动计算机。
重复步骤 3-5 直至报告无受感染文件。
其它信息:
有关 W32.Klez.gen@mm 检测的说明:如果感染了 W32.Klez 变种,通常会
检测到 W32.Klez.gen@mm。感染了 W32.Klez.gen@mm 的计算机大多也容易
感染 W32.Klez.E@mm 或 W32.Klez.H@mm。如果您的计算机被检测为感染了
W32.Klez.gen@mm,请下载并运行该工具。在多数情况下,该工具可以消
除此类感染。
修订记录:
2002 年 9 月 17 日:
添加信息,说明 W32.ElKern.4926 不放置 Wqk.dll 或 Wqk.exe,并且不
修改任何注册表键。
添加有关 W32.ElKern.dam 的信息。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.27]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店