动态  人物  精英访谈  深度  渠道  数据  测评  厂商  资本  互联网  法规  协会园区  人才  会展活动  本站动态 

绿盟:利用MSN Messenger和QQ传播的蠕虫“funny”正在流传

2004-10-12 来源:中国软件网 发布方:绿盟科技 网友评论 0 条 点击进入论坛

公告编号:NSFCSA-20041011-11

发布时间:2004-10-11

更新时间:2004-10-11

 

 

受影响的软件及系统:

====================

Microsoft Windows 95

Microsoft Windows 98

Microsoft Windows ME

Microsoft Windows NT 4

Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows 2003

 

 

 

综述:

======

绿盟科技安全小组监测到互联网上出现了一个利用MSN Messenger和QQ传播的蠕虫,目前在国内的传

播面比较大。由于该蠕虫修改了重要的注册表键值,不恰当地清除蠕虫可能导致系统无法登陆。

 

 

分析:

======

 

该蠕虫在系统上运行后,会进行以下动作:

 

1、将自身拷贝为:

%SystemRoot%\rundll32.exe

%SystemRoot%\system32\IEXPLORE.EXE

%SystemRoot%\system32\explorer.exe

%SystemRoot%\system32\userinit32.exe

 

2、修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

下的Userinit修改为指向%SystemRoot%\system32\userinit32.exe。

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加运行

%SystemRoot%\rundll32.exe的项。

 

3、修改%system32%\drivers\etc\hosts文件,将大量域名指向222.89.98.219,这样,用户访问这些

域名的时候,实际访问的是222.89.98.219。

 

4、蠕虫会同时运行自身的多个拷贝,如果其中一个进程被中止,则其余进程会立即将它再运行。

 

5、如果系统运行了QQ或者MSN Messenger,蠕虫会向每一个联系人发送一条消息,包括一句话和一个

指向http://www.78p.com/的链接,并试图将自身以文件funny.exe传输。

 

 

解决方法:

==========

 

预防:

 

如果您接收到包含http://www.78p.com/的消息,和funny.exe的文件传输请求,请拒绝。

 

检查是否被感染:

 

检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,则说明可能已经被

蠕虫感染。

 

清除:

 

对于Windows 2000/XP,请按照下面步骤进行:

 

1、在命令提示符中输入下列命令,将蠕虫改名:

   ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir

   ren %SystemRoot%\system32\explorer.exe explorer.exe.vir

   ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir

   ren %SystemRoot%\rundll32.exe rundll32.exe.vir

 

2、修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon

   下的%SystemRoot%\system32\userinit32.exe修改为

%SystemRoot%\system32\userinit.exe

 

3、重启系统

 

4、在命令提示符中输入下列命令,删除蠕虫文件:

   del %SystemRoot%\system32\IEXPLORE.EXE.vir

   del %SystemRoot%\system32\explorer.exe.vir

   del %SystemRoot%\system32\userinit32.exe.vir

   del %SystemRoot%\system32\bsfirst2.log

   del %SystemRoot%\rundll32.exe.vir

 

4、修改注册表删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"MMSystem"项。

 

5、在命令提示符中输入下列命令修复hosts文件

   type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp

   copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hosts

   del hosts.tmp

 

如果已经不恰当地删除了蠕虫,并导致系统无法正常登陆。请按照如下步骤进行:

 

1、用Windows 2000(或者Windows XP/2003)安装光盘引导系统,在欢迎使用安装程序

   界面上按R键,选择修复。

 

2、然后按C键选择使用故障恢复控制台。

 

3、键入一个数字,选择某个Windows 安装,通常是1。然后输入管理员密码。

 

4、进入system32目录,输入命令:

   del  userinit32.exe

   copy userinit.exe userinit32.exe

 

5、重启系统,将上面介绍的清除蠕虫的办法再进行一遍。

 

 

附加信息:

=======

 

http://www.nsfocus.net/index.php?act=alert&do=view&aid=45

 

声 明

==========

 

本安全公告仅用来描述可能存在的安全问题,中联绿盟信息技术(北京)有限公司不为

此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的

任何直接或者间接的后果及损失,均由使用者本人负责,中联绿盟信息技术(北京)有

限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥

有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告

的完整性,包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许,

不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

已有 0 位对此新闻感兴趣的网友发布了看法    
我来评两句 登录邮箱: 密码:
  匿名发表
今日新闻推荐
重点推荐
电子杂志订阅
点击电子杂志名称查看样刊
输入E-mail地址即可订阅
E-mail