发现: 2002 年 6 月 6 日
更新: 2007 年 2 月 13 日 11:46:57 AM
别名: VBS/VBSWG.aq@MM [McAfee], VBS_VBSWG.AQ [Trend], VBS/VBSWG-AQ [Sophos], VBSWG.AQ [F-Secure], VBS.VBSWG.AQ [CA], VBS/VBSWG.AQ@mm [Norman], Worm/Shakira [Vexira]
类型: Worm
感染长度: 7,995 bytes
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows NT, Windows XP
由于提交率的提高,赛门铁克安全响应中心自 2002 年 6 月 6 日起,将 VBS.VBSWG.AQ@mm 的威胁级别从 2 类升级为 3 类。
VBS.VBSWG.AQ@mm 是一种 VBScript 威胁,被设计为将其自身作为 ShakiraPics.jpg.vbs 发送给 Microsoft Outlook 或 IRC 的用户。该威胁也会用它自己的代码覆盖 .vbs 和 .vbe 文件。此类电子邮件有以下特征:
主题:Shakira's Pictures
正文:
Hi :
i have sent the photos via attachment
have funn...
附件:ShakiraPics.jpg.vbs
注意:该威胁以前检测为 zoo 威胁,但在 2002 年 6 月 6 日在外界有所发现。
防护
* 病毒定义(每周 LiveUpdate™) 2002 年 5 月 29 日
* 病毒定义(智能更新程序) 2002 年 5 月 29 日
威胁评估
广度
* 广度级别: Medium
* 感染数量: 0 - 49
* 站点数量: More than 10
* 地理位置分布: Medium
* 威胁抑制: Easy
* 清除: Easy
损坏
* 损坏级别: Low
* 大规模发送电子邮件: Uses Microsoft Outlook to send itself to all your contacts.
分发
* 分发级别: High
* 电子邮件的主题: Shakira's Pictures
* 附件名称: ShakiraPics.jpg.vbs
* 附件大小: 7,995 bytes
该威胁使用名为 VBSWG 的构造套件创建。该套件使蠕虫的作者能够选择分发文件的方式和文件分发时所用的文件名。在赛门铁克安全响应中心收到的样本中,其作者就选择了 Microsoft Outlook 和 mIRC 作为分发机制。作者想称该威胁为 VBS.Shakira,这一点可以由脚本中所有指令前的注释行看出来:
'Vbs.ShakiraPics Created By TGK
如果 VBS.VBSWG.AQ@mm 得到执行,它就会进行:
将其自身以名称 ShakiraPics.jpg.vbs 复制到 \%Windows% 文件夹。
注意:%Windows% 是一个变量。蠕虫会定位 Windows 文件夹(默认位置是 C:Windows 或 C:Winnt),再将自身复制到该位置。
它会将值
Registry wscript.exe C:WINNTShakiraPics.jpg.vbs %
添加到注册表键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
然后,它会搜索所有可用驱动器(包括软驱和其他可移动介质)上的 .vbs 和 .vbe 文件,并尝试使用它自己的代码覆盖这些文件。
随后会尝试使用 Microsoft Outlook 将自己发送给您的联系人。该电子邮件消息的格式如下:
主题:Shakira's Pictures
正文:
Hi :
i have sent the photos via attachment
have funn...
附件:ShakiraPics.jpg.vbs
该威胁会覆盖 mIRC 配置文件 (Script.ini),这样它就可以在您加入聊天服务器时发送它自己的一个副本。
注意:
* 如果该威胁使用 Outlook 进行自身发送,它会创建以下注册表项,表明它已运行了该例程:
HKEY_CURRENT_USERSoftwareShakiraPics
"mailed" = "1"
* 如果它为了进行自身发送修改了 mIRC,它会修改该注册表以表明该例程已运行:
HKEY_CURRENT_USERSoftwareShakiraPics
"mirqued" = "1"
当该威胁完成了执行后,会显示以下消息:
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
要删除此蠕虫:
* 运行全面的系统扫描,并删除检测为 VBS.VBSWG.AQ@mm 的文件。
* 从注册表键
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
删除值
Registry wscript.exe C:WINNTShakiraPics.jpg.vbs %
有关如何进行此操作的说明,请参阅下列文档:
扫描和删除蠕虫:
1. 获得最新的病毒定义。可通过两种方法获得:
* 运行 LiveUpdate。LiveUpdate 是获得病毒定义最简便的方法。这些病毒定义经过赛门铁克安全响应中心的全面质量监控检测,如果未遇重大病毒爆发情况,会在每周的某个时间发布在 LiveUpdate 服务器上(一般为星期三)。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。
* 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义已经过赛门铁克安全响应中心的全面质量监控检测。会在工作日(周一至周五,美国时间)发布。必须从赛门铁克安全响应中心下载病毒定义,并进行手动安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。
“智能更新程序” 病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装“智能更新程序”病毒定义,请单击这里。
2. 启动 Norton AntiVirus (NAV),并确保将 NAV 配置为扫描所有文件。
* NAV 单机版产品:请阅读文档“如何配置 Norton AntiVirus 以扫描所有文件(英文)”。
* NAV 企业版产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件(英文)”。
3. 运行全面的系统扫描。
4. 删除所有被检测为 VBS.VBSWG.AQ@mm 的文件。
从注册表删除值:
警告:务必在做任何更改前备份注册表。对注册表的非正确更改将造成永久性的数据遗失或文件破坏。只修改指定的键。有关指导,请参阅文档“如何备份 Windows 注册表”。
1. 单击“开始”,然后单击“运行”。将出现“运行”对话框。
2. 键入 regedit,然后单击“确定”。将打开“注册表编辑器”。
3. 导航至下面的键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4. 在右窗格中,删除下列值:
Registry wscript.exe C:WINNTShakiraPics.jpg.vbs %
5. 单击“注册表”,然后单击“退出”。
6.
描述者: Patrick Nolan
