標籤: 暫無標籤

W32.Swen.A@mm 是一種使用自己的 SMTP 引擎進行傳播的群發郵件蠕蟲。它試圖通過文件共享網路(例如 KaZaA 和 IRC)進行傳播,並試圖終止計算機上運行的防病毒和個人防火牆程序。

 

1 W32.Swen.A@mm -概述

發現: 2003 年 9 月 18 日
更新: 2007 年 2 月 13 日 12:12:04 PM
別名: Swen 【F-Secure】, W32/Swen@mm 【McAfee】, W32/Gibe-F 【Sophos】, I-Worm.Swen 【kav】, Win32 Swen.A 【CA】, WORM_SWEN.A 【Trend】, Worm.Automat.AHB 【Previous Sym
類型: Worm
感染長度: 106,496 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
CVE 參考: CVE-2001-0154


由於提交次數的增加,Symantec 安全響應中心自 2003 年 9 月 18 日周四 6:30pm 起,將 W32.Swen.A@mm 升級為 3 類威脅。
注意:數字免疫系統自動創建的定義以前將此威脅檢測為 Worm.Automat.AHB。
W32.Swen.A@mm 是一種使用自己的 SMTP 引擎進行傳播的群發郵件蠕蟲。它試圖通過文件共享網路(例如 KaZaA 和 IRC)進行傳播,並試圖終止計算機上運行的防病毒和個人防火牆程序。

該蠕蟲以電子郵件附件的形式到達。電子郵件的主題、正文和發件人地址各不相同。例如,有些郵件自稱是 Microsoft Internet Explorer 的補丁程序,或是來自 Qmail 的郵遞失敗通知。

W32.Swen.A@mm 在功能上類似於 W32.Gibe.B@mm,是用 C++ 編寫的。

此蠕蟲利用 Microsoft Outlook 和 Outlook Express 中的漏洞,試圖在您打開甚至預覽郵件時自行執行。有關漏洞的信息和相應的補丁程序,請訪問:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.。

Symantec 安全響應中心開發了一種殺毒工具,可用來清除 W32.Swen.A@mm 感染。
防護

    * 病毒定義(每周 LiveUpdate™) 2003 年 9 月 18 日
    * 病毒定義(智能更新程序) 2003 年 9 月 18 日

2 W32.Swen.A@mm -威脅評估


廣度

    * 廣度級別: Low
    * 感染數量: More than 1000
    * 站點數量: More than 10
    * 地理位置分佈: High
    * 威脅抑制: Easy
    * 清除: Difficult

損壞

    * 損壞級別: Medium
    * 危及安全設置: Attempts to terminate processes associated with various programs.

分發

    * 分發級別: High
    * 電子郵件的主題: Varies
    * 附件名稱: Varies with .exe or .zip file extension.
    * 附件大小: 106,496 bytes

執行 W32.Swen.A@mm 時,該蠕蟲會執行下列操作:

   1. 檢查計算機是否已安裝該蠕蟲。如果已安裝,安裝程序會終止並顯示下面的信息:

   2. 如果執行的文件名以字母 q、u、p 或 i 開頭,蠕蟲會向用戶顯示對話框,偽裝成「Microsoft Internet Update Pack」。

      不管用戶此時如何選擇,蠕蟲都會安裝自身。如果您選擇"No",蠕蟲會悄悄地安裝,如果選擇"Yes", 下面的窗口會顯示安裝過程:



   3. 試圖終止下列進程:
          * Azonealarm
          * zapro
          * wfindv32
          * webtrap
          * vsstat
          * vshwin32
          * vsecomr
          * VScan
          * vettray
          * vet98
          * vet95
          * vet32
          * vcontrol
          * vcleaner
          * tds2
          * tca
          * sweep
          * sphinx
          * serv95
          * safeweb
          * rescue
          * regedit
          * rav
          * pview
          * pop3trap
          * persfw
          * pcfwallicon
          * pccwin98
          * pccmain
          * pcciomon
          * pavw
          * pavsched
          * pavcl
          * padmin
          * outpost
          * nvc95
          * nupgrade
          * nupdate
          * normist
          * nmain
          * nisum
          * navw
          * navsched
          * navnt
          * navlu32
          * navapw32
          * nai_vs_stat
          * msconfig
          * mpftray
          * moolive
          * luall
          * lookout
          * lockdown2000
          * kpfw32
          * jedi
          * iomon98
          * iface
          * icsupp
          * icssuppnt
          * icmoon
          * icmon
          * icloadnt
          * icload95
          * ibmavsp
          * ibmasn
          * iamserv
          * iamapp
          * gibe
          * f-stopw
          * frw
          * fp-win
          * f-prot95
          * fprot95
          * f-prot
          * fprot
          * findviru
          * f-agnt95
          * espwatch
          * esafe
          * efinet32
          * ecengine
          * dv95
          * claw95
          * cfinet
          * cfind
          * cfiaudit
          * cfiadmin
          * ccshtdwn
          * ccapp
          * bootwarn
          * BlackICE
          * blackd
          * avwupd32
          * avwin95
          * avsched32
          * avp
          * avnt
          * avkserv
          * avgw
          * avgctrl
          * avgcc32
          * ave32
          * avconsol
          * autodown
          * apvxdwin
          * aplica32
          * anti-trojan
          * ackwin32
          * _avp
   4. 將自身的副本以隨機生成的文件名放入 %Windir% 中。
      注意:%Windir% 是一個變數。蠕蟲會找到 Windows 安裝文件夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
   5. 在硬碟的 .html、.asp、.eml、.dbx、.wab、.mbx 文件中搜索電子郵件地址。
   6. 創建文件 %Windir%\Germs0.dbv,在其中存儲它找到的電子郵件地址。
   7. 創建文件 %Windir%\Swen1.dat,在其中存儲遠程新聞和郵件伺服器列表。
   8. 放入 %ComputerName%.bat 文件,該文件執行蠕蟲和隨機命名的配置文件以存儲計算機特定的本地數據。
      注意:%ComputerName% 是一個變數,代表受感染計算機的名稱。
   9. 將值:
          * "CacheBox Outfit"="yes"
          * "ZipName"="<random>"
          * "Email Address"="<The current users email address that the worm retrieves from the registry>"
          * "Server"="<The IP address of the SMTP server that the worm retrieves from the registry>"
          * "Mirc Install Folder"="<location of mirc client on system>"
          * "Installed"="...by Begbie"
          * "Install Item"="<random>"
          * "Unfile"="<random>"

            添加到鍵:
            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\*

            其中 * 是一組隨機的字母。
  10. 將隨機命名的值添加到:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      使蠕蟲在 Windows 啟動時隨之啟動。
  11. 修改下列註冊表鍵:
          * HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
          * HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command
          * HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command
          * HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command
          * HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command
          * HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command

            從而將蠕蟲鉤連到其中每種文件類型。
  12. 修改註冊表鍵:
      "DisableRegistryTools" = "1"

      中的值:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

      以防止用戶在系統上運行 regedit。
  13. 定期向用戶顯示偽造的 MAPI32 Exception 錯誤,



      提醒他們輸入其電子郵件帳戶的詳細信息,包括下列信息:
          * Username
          * Password
          * POP3 server
          * SMTP server
  14. 蠕蟲會使用用戶名和密碼登錄 POP3 伺服器並檢查用戶的電子郵件。如果蠕蟲發現一封自己發出的郵件就會將其刪除。蠕蟲只刪除從已感染的計算機發出的信息。
  15. 向用戶顯示下列偽造的錯誤消息,然後在運行特定可執行文件(例如 regedit)時退出:

  16. 向預定義的 HTTP 伺服器發送 HTTP Get 請求以提取蠕蟲首次運行時的計數器信息。然後,蠕蟲可能會顯示該計數器信息。例如:

  17. 先使用 Winzip 再使用 Winrar 文件壓縮工具創建一份或多份自身的壓縮版本。


蠕蟲通過電子郵件、KaZaA、IRC、網路共享和新聞組傳播。以下部分討論了上面每種傳播方法是如何進行的。

通過電子郵件傳播
W32.Swen.A@mm 將自身的副本發送到通過各種方法在系統上找到的地址。蠕蟲會改變它發送的消息以及它附加自己時使用的文件名。它利用 Microsoft Security Bulletin MS01-020 中提及的不正確的 MIME 頭漏洞以確保在查看郵件時能自動執行。

其中一種消息偽裝成來自 Microsoft 的緊急消息,建議用戶用使用它的附件更新系統。附件名的創建如下:

   1. 從下列名字中選擇一個。
          * Patch
          * Upgrade
          * Update
          * Installer
          * Install
          * Pack
          * Q
   2. 隨後是幾個隨機數字組成的序列。
   3. 使用 .exe 或 .zip 作為擴展名。




蠕蟲還可以模仿郵件郵遞失敗通知,將自身附加為隨機命名的可執行文件。

例如:
"I'm sorry I wasn't able to deliver your message to one or more destinations."

通過 KaZaA 傳播
試圖通過 KaZaA 傳播時,W32.Swen.A@mm 會執行下列操作:

   1. 將自身的副本放入系統上 %Temp% 下的隨機命名的子目錄中。
      注意:%Temp% 是一個變數。蠕蟲會找到 Windows 安裝文件夾(默認為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
   2. 將值:
      "Dir99"= 012345:"<random folder name>"
      "DisableSharing"="0"

      添加到註冊表鍵:
      HKEY_CURRENT_USER\Software\Kazaa\LocalContent

      從而將此文件夾添加到 KaZaA 中的共享文件夾列表中。
      注意:<random folder name> 是在上面的步驟 1 中在 %Temp% 下創建的文件夾。
   3. 其中部分可能放入的文件名包括:
          * Virus Generator
          * Magic Mushrooms Growing
          * Cooking with cannabis
          * hallucinogenic Screensaver
          * My naked sister
          * XXX Pictures
          * Sick Joke
          * XXX Video
          * XP update
          * Emulator PS2
          * XboX Emulator
          * Sex
          * HardPorn
          * Jenna Jameson
          * 10.000 Serials
          * Hotmail hacker
          * Yahoo hacker
          * AOL hacker
          * fixtool
          * cleaner
          * removal tool
          * remover
          * Klez
          * Sobig
          * Sircam
          * Gibe
          * Yaha
          * bugbear
          * installer
          * upload
          * warez
          * hacked
          * hack
          * key generator
          * Windows Media Player
          * GetRight FTP
          * Download Accelerator
          * Mirc
          * Winamp
          * WinZip
          * WinRar
          * KaZaA
          * KaZaA media desktop
          * Kazaa Lite

通過 IRC 傳播
試圖通過 IRC 傳播時,W32.Swen.A@mm 會執行下列操作:

   1. 搜索 \Mirc 文件夾。
   2. 在此文件夾中創建 Script.ini 文件,蠕蟲使用該文件將自身發送給其他與受感染計算機連接到同一通道的 mIRC 用戶。

通過網路共享傳播
試圖通過網路共享傳播時,W32.Swen.A@mm 會試圖找到所有映射的網路驅動器上的 Startup 文件夾:

    * \Win98\Start menu\Programs\Startup
    * \Win95\Start menu\Programs\Startup
    * \WinMe\Start menu\Programs\Startup
    * \Windows\Start menu\Programs\Startup
    * \Documents and Settings\All Users\Start menu\Programs\Startup
    * \Documents and Settings\Administrator\Start menu\Programs\Startup
    * \Documents and Settings\Default User\Start menu\Programs\Startup
    * \Winnt\Profiles\All Users\Start menu\Programs\Startup
    * \Winnt\Profiles\Administrator\Start menu\Programs\Startup
    * \Winnt\Profiles\Default User\Start menu\Programs\Startup

通過新聞組傳播
W32.Swen.A@mm 還可能試圖將自身分發到地址包含在蠕蟲內部的預定新聞組。如果系統沒有設置新聞組,蠕蟲會從事先準備的清單中隨機選取一個。蠕蟲會下載可用的新聞組,並向隨機選中的新聞組發送信息。
建議

賽門鐵克安全響應中心建議所有用戶和管理員遵循以下基本安全「最佳實踐」:

    * 禁用並刪除不需要的服務。 默認情況下,許多操作系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程序更新即可完成。
    * 如果混合型威脅攻擊了一個或多個網路服務,則在應用補丁程序之前,請禁用或禁止訪問這些服務。
    * 始終安裝最新的補丁程序,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時應用。
    * 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
    * 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件,這些文件常用於傳播病毒。
    * 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
    * 教育員工不要打開意外收到的附件。 並且只在進行病毒掃描后才執行從互聯網下載的軟體。如果未對某些瀏覽器漏洞應用補丁程序,那麼訪問受感染的網站也會造成病毒感染。

以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
注意:由於該蠕蟲對 Windows 註冊表進行了大量更改,因此,如果該蠕蟲已經運行,並且 Symantec 防病毒產品隨後將其隔離或刪除,則殺除該蠕蟲可能較難。

請根據實際情況,按照相應部分中的指導進行操作。強烈建議您在開始操作之前,首先閱讀相應部分中的所有指導。
W32.Swen.A@mm 尚未被隔離或刪除
如果 Symantec 防病毒產品尚未隔離或刪除 W32.Swen.A@mm,並且您懷疑或知道自己的系統上存在 W32.Swen.A@mm,請執行下列操作:

   1. 下載並運行 W32.Swen.A@mm 殺毒工具。W32.Swen.A@mm 殺毒工具文檔中提供了完整指導。
   2. 運行此工具后,更新病毒定義。Symantec 安全響應中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
          * 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
          * 使用智能更新程序下載病毒定義:智能更新程序病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全響應中心網站下載病毒定義並手動進行安裝。要確定是否可通過智能更新程序獲取此威脅的定義,請參考病毒定義(智能更新程序)。

            現在提供智能更新程序病毒定義:有關詳細說明,請參閱如何使用智能更新程序更新病毒定義文件。
   3. 運行完整的系統掃描。
         1. 啟動 Symantec 防病毒程序,並確保已將其配置為掃描所有文件。
                * Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有文件。
                * 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。
         2. 運行完整的系統掃描。
         3. 如果有任何文件被檢測為感染了 W32.Swen.A@mm,請單擊「刪除」。

W32.Swen.A@mm 已被隔離或刪除
如果 Symantec 防病毒產品已經檢測到 W32.Swen.A@mm,並隨後將其隔離或刪除,您將無法運行 .exe、.com 和其他可執行文件。請根據操作系統執行下面相應部分中的操作。

Windows 95/98

   1. 重新啟動計算機。
   2. 執行下列操作之一:
          * Windows 95:當屏幕上出現「正在啟動 Windows 95…」時,按 F8 鍵。將出現 Windows 95 啟動菜單。
          * Windows 98:在計算機重新啟動時,按住 Ctrl 鍵,直到出現 Windows 98 啟動菜單。
            注意:在一些計算機上,如果在重新啟動過程中持續按住 Ctrl 鍵,可能會出現鍵盤錯誤或其他錯誤。如果發生這種情況,請根據提示按某個鍵繼續(例如,消息可能提示您按 Esc 鍵),然後立即再次按 Ctrl 鍵。
   3. 選擇「Command Prompt only」。
   4. 鍵入下列命令,每鍵入完一行即按 Enter 鍵:

      cd\
      cd windows
      edit repair.reg

      將打開 DOS 編輯器。
   5. 嚴格按照如下顯示向 DOS 文本編輯器中鍵入下列行:

      REGEDIT4

      【HKEY_CLASSES_ROOT\exefile\shell\open\command】
      @="\"%1\" %*"

      【HKEY_CLASSES_ROOT\regfile\shell\open\command】
      @="regedit.exe \%1\"
   6. 同時按 Alt 鍵和 F 鍵以訪問 File 菜單,然後按 X 鍵退出 DOS 文本編輯器。出現提示時,按 Enter 鍵確認要保存該文件。這將返回到命令提示符。
   7. 鍵入下列命令,每鍵入完一行即按 Enter 鍵。必須嚴格按照下面的顯示鍵入這些命令:

      regedit /e backup.reg hkey_classes_root\exefile
      regedit /d hkey_classes_root\exefile\shell\open\command
      regedit /d hkey_classes_root\regfile\shell\open\command
      regedit repair.reg
   8. 重新啟動計算機。
   9. 下載並運行 W32.Swen.A@mm 殺毒工具。W32.Swen.A@mm 殺毒工具文檔中提供了完整指導。
  10. 運行此工具后,更新病毒定義。Symantec 安全響應中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
          * 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
          * 使用智能更新程序下載病毒定義:智能更新程序病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全響應中心網站下載病毒定義並手動進行安裝。要確定是否可通過智能更新程序獲取此威脅的定義,請參考病毒定義(智能更新程序)。

            現在提供智能更新程序病毒定義:有關詳細說明,請參閱如何使用智能更新程序更新病毒定義文件。
  11. 運行完整的系統掃描。
         1. 啟動 Symantec 防病毒程序,並確保已將其配置為掃描所有文件。
                * Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有文件。
                * 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。
         2. 運行完整的系統掃描。
         3. 如果有任何文件被檢測為感染了 W32.Swen.A@mm,請單擊「刪除」。

Windows Me
要在 Windows Me 上執行此過程,必須具有 Windows Me 啟動盤。如果找不到計算機附帶的 Windows Me 啟動盤,可以從 PC 供應商或當地計算機商店獲得。

   1. 在軟盤驅動器中插入 Windows Me 啟動盤,然後重新啟動計算機。計算機將打開並顯示 MS-DOS 提示符。
   2. 鍵入下列命令,每鍵入完一行即按 Enter 鍵:
      c:
      cd\
      cd windows
      edit repair.reg

      將打開 DOS 文本編輯器。
   3. 嚴格按照如下顯示向 DOS 文本編輯器中鍵入下列命令行:

      REGEDIT4

      【Hkey_classes_root\exefile\shell\open\command】
      @="\"%1\" %*"

      【Hkey_classes_root\regfile\shell\open\command】
      @="regedit.exe \%1\"
   4. 同時按 Alt 鍵和 F 鍵以訪問 File 菜單,然後按 X 鍵退出 DOS 文本編輯器。出現提示時,按 Enter 鍵確認要保存該文件。這將返回到命令提示符。
   5. 鍵入下列命令,每鍵入完一行即按 Enter 鍵。必須嚴格按照下面的顯示鍵入這些命令:

      regedit /e backup.reg hkey_classes_root\exefile
      regedit /d hkey_classes_root\exefile\shell\open\command
      regedit /d hkey_classes_root\regfile\shell\open\command
      regedit repair.reg
   6. 重新啟動計算機。
   7. 下載並運行 W32.Swen.A@mm 殺毒工具。W32.Swen.A@mm 殺毒工具文檔中提供了完整指導。
   8. 運行此工具后,更新病毒定義。Symantec 安全響應中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
          * 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
          * 使用智能更新程序下載病毒定義:智能更新程序病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全響應中心網站下載病毒定義並手動進行安裝。要確定是否可通過智能更新程序獲取此威脅的定義,請參考病毒定義(智能更新程序)。

            現在提供智能更新程序病毒定義:有關詳細說明,請參閱如何使用智能更新程序更新病毒定義文件。
   9. 運行完整的系統掃描。
         1. 啟動 Symantec 防病毒程序,並確保已將其配置為掃描所有文件。
                * Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有文件。
                * 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。
         2. 運行完整的系統掃描。
         3. 如果有任何文件被檢測為感染了 W32.Swen.A@mm,請單擊「刪除」。

Windows NT/2000/XP

   1. 下載 W32.Swen.A@mm 殺毒工具,然後開始按照 W32.Swen.A@mm 殺毒工具文檔中的指導進行操作。但在執行到步驟 5(指導您「雙擊 FixSwen.exe 文件」)時,請停止操作。不要雙擊該文件,而應執行下列操作:
         1. 用滑鼠右鍵單擊 FixSwen.exe 文件,然後單擊「重命名」。
         2. 將該文件重命名為:
            FixSwen.cmd
         3. 當系統詢問您是否要更改文件擴展名時,單擊「是」。
         4. 雙擊 FixSwen.cmd 文件,然後繼續進行殺毒工具文檔中的操作。
   2. 運行此工具后,更新病毒定義。Symantec 安全響應中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
          * 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
          * 使用智能更新程序下載病毒定義:智能更新程序病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全響應中心網站下載病毒定義並手動進行安裝。要確定是否可通過智能更新程序獲取此威脅的定義,請參考病毒定義(智能更新程序)。

            有關獲得「智能更新程序」病毒定義的詳細指導,請參閱 如何使用智能更新程序更新病毒定義文件。
   3. 運行完整的系統掃描。
         1. 啟動 Symantec 防病毒程序,並確保已將其配置為掃描所有文件。
                * Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有文件。
                * 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。
         2. 運行完整的系統掃描。
         3. 如果有任何文件被檢測為感染了 W32.Swen.A@mm,請單擊「刪除」。




描述者: John Canavan

上一篇[《音樂之聲》[電影]]    下一篇 [巴特]

相關評論

同義詞:暫無同義詞