標籤: 暫無標籤

W95.Hybris.Plugin所屬一款計算機病毒,是一種用於檢測 W95.Hybris.gen 蠕蟲下載的任何加密插件的普通程序。

 

1 W95.Hybris.Plugin -概述

發現: 2000 年 12 月 21 日
更新: 2007 年 2 月 13 日 11:35:10 AM
別名: I-Worm.Hybris.plugin 【Kaspersk, W32/Hybris.plugin@MM 【McAfee】, WORM_HYBRIS.PLG 【Trend】, W32/Hybr-Plugin 【Sophos】, Win32.Hybris.plugin 【Computer
類型: Worm
感染長度: varies
受感染的系統: Windows 95, Windows 98, Windows Me


由於提交率的降低,Symantec 安全響應中心自 2004 年 1 月 6 日起,將此威脅的級別從 3 類降為 2 類。

W95.Hybris.plugin 是一種用於檢測 W95.Hybris.gen 蠕蟲下載的任何加密插件的普通程序。
防護

    * 病毒定義(每周 LiveUpdate™) 2000 年 12 月 21 日
    * 病毒定義(智能更新程序) 2000 年 12 月 21 日

2 W95.Hybris.Plugin -威脅評估

廣度

    * 廣度級別: Low
    * 感染數量: More than 1000
    * 站點數量: More than 10
    * 地理位置分佈: Medium
    * 威脅抑制: Moderate
    * 清除: Difficult

損壞

    * 損壞級別: Low

分發

    * 分發級別: High

在感染系統后,W95.Hybris.gen 蠕蟲會嘗試連接到新聞組 alt.comp.virus。如果蠕蟲連接成功,就會執行下列操作:

   1. 將自己的加密插件上載到此新聞組。
   2. 瀏覽新聞組消息的主題標題,查找其他的附加插件,並試圖匹配一種特定的格式。主題標題將指定所附加插件的版本號。
   3. 如果找到插件的更新版本,蠕蟲會下載更新的模塊並更新自己的行為。


注意:插件的種類有許多種,其特徵各不相同。最常見的一種是顯示一個覆蓋 Windows 桌面的大螺旋圖像,並且阻止您使用 Windows。另一種插件與其行為相似,不過顯示的是一個黑色實心圓。

插件可能執行下列一種或多種操作:

    * 產生一個螺旋圖像。螺旋圖像文件運行的時間取決於系統的日期和時間(從 2001 年開始,9 月 16 日和 24日以及每小時的第 59 分鐘)。執行時,最初會載入 OpenGL 庫(用於繪製大的黑白相間的螺旋圖像)。此插件還會將自身註冊為服務,所以在「關閉程序」對話框中不會顯示。
    * 感染 DOS 可執行程序。DOS .exe 感染是一種相當簡單的掛接技術。用一個 16 位的小掛接常式即可將病毒代碼附加到文件末尾。該常式會在 \Temp 文件夾內創建一個擴展名為 .exe 的臨時文件,然後執行此文件。此後,該常式會刪除此臨時可執行文件。這樣,wsock32.dll 文件就感染了此蠕蟲。
    * 感染 PE 可執行程序。PE 可執行程序的文件感染過程複雜的多。只有代碼部分足夠長的大型 PE 文件才會受到感染。病毒感染插件會擠滿源代碼區,如果位置合適,還會覆蓋該代碼區。這種複雜的非啟髮式感染技術很難修復,但也不是不可能修復。目前, SARC 將該插件檢測為 W95.Hybris.F,並且已經創建了一種殺毒工具來刪除此插件。單擊此處可獲得 W95.HybrisF 修復工具。
    * 感染從 C:到 Z:的所有可用驅動器上的全部 .zip 和 .rar 檔案文件。當此蠕蟲感染 .zip 和 .rar 文件時,會將檔案中的 .exe 文件重命名為擴展名為 .ex$ 的文件,並以 .exe 為擴展名將該蠕蟲的副本添加到此檔案文件中(這是伴隨感染)。
    * 將包含加密插件的郵件發送到 alt.comp.virus 新聞組,然後從那裡獲得新的插件。
    * 將蠕蟲傳播到感染了 Backdoor.SubSeven 特洛伊木馬程序的遠程計算機上。此插件會在 Web 上檢測此類計算機,並使用 SubSeven 命令將蠕蟲的副本上載到感染了 SubSeven 的計算機上。
    * 用多態的加密環將蠕蟲副本加密,再以電子郵件附件的形式將其發送給他人。

建議

賽門鐵克安全響應中心建議所有用戶和管理員遵循以下基本安全「最佳實踐」:

    * 禁用並刪除不需要的服務。 默認情況下,許多操作系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程序更新即可完成。
    * 如果混合型威脅攻擊了一個或多個網路服務,則在應用補丁程序之前,請禁用或禁止訪問這些服務。
    * 始終安裝最新的補丁程序,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時應用。
    * 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
    * 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件,這些文件常用於傳播病毒。
    * 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
    * 教育員工不要打開意外收到的附件。 並且只在進行病毒掃描后才執行從互聯網下載的軟體。如果未對某些瀏覽器漏洞應用補丁程序,那麼訪問受感染的網站也會造成病毒感染。

普通殺毒指導:

   1. 運行 LiveUpdate,確保您的病毒定義是最新的。
   2. 確保 Norton AntiVirus 設置為掃描所有文件。
   3. 以安全模式重新啟動計算機 (Windows 95/98/Me)。
   4. 運行完整的系統掃描。
          * 如果 Norton AntiVirus 檢測到 W95.HybrisF,則重新啟動進入正常模式,然後下載並運行 W95.HybrisF 修復工具。此工具將修復被 W95.HybrisF.plugin 病毒感染的所有 Windows 可執行文件。
          * 如果 Norton AntiVirus 檢測到 W95.HybrisF 以外的感染,則選擇修復所有受感染文件。如果 Norton AntiVirus 不能修復這些文件,則選擇將其刪除。
   5. 當掃描完成後,重新啟動進入正常模式。


刪除黑白相間螺旋或黑色圓圖像指導:
螺旋圖像或圓圖像是從 Win.ini 文件的 run= 行載入的。在大多數情況下,因為螺旋圖像會阻止您打開程序,所以需要:

   1. 運行 LiveUpdate,然後運行完整的系統掃描。
   2. 以安全模式重新啟動計算機。
   3. 確保 Windows 設置為顯示所有文件。
   4. 從 Win.ini 文件的 Run 行刪除對插件的引用。
   5. 查找並刪除插件本身。
   6. 從 Cab 文件中提取 Wsock32.dll 文件。
   7. 運行 LiveUpdate,然後運行完整的系統掃描。


更新和掃描:

   1. 運行 LiveUpdate,確保您的病毒定義是最新的。
   2. 啟動 Norton AntiVirus (NAV),然後運行完整的系統掃描,確保 NAV 設置為掃描所有文件。
   3. 如果有任何文件被檢測為受到感染,則單擊「修復」。


在安全模式下重新啟動計算機:

    * Windows 95:
         1. 退出所有程序。
         2. 單擊「開始」,然後單擊「關閉系統」。「關閉 Windows」對話框出現。
         3. 單擊「重新啟動計算機」,然後單擊「是」。
         4. 當屏幕上出現「正在啟動 Windows 95…」時,按 F8 鍵。將出現 Windows 95 啟動菜單。
         5. 按下與安全模式對應的數字,然後按 Enter 鍵。Windows 將以安全模式啟動。
    * Windows 98:
         1. 單擊「開始」,然後單擊「運行」。
         2. 鍵入 msconfig,然後單擊「確定」。「系統配置實用程序」對話框出現。
         3. 在「常規」選項卡上單擊「高級」。
         4. 選中「啟用『啟動』菜單」,單擊「確定」,然後再次單擊「確定」。
         5. 退出所有程序。
         6. 單擊「開始」,然後單擊「關閉系統」。將出現「關閉 Windows」對話框。
         7. 單擊「重新啟動計算機」,然後單擊「是」。計算機將重新啟動。
         8. 當 Windows 98 啟動菜單出現時,按下與安全模式對應的數字,然後按 Enter 鍵。Windows 將以安全模式啟動。


將 Windows 設置為顯示所有文件:

   1. 啟動 Windows 資源管理器。
   2. 單擊「查看」菜單 (Windows 95/98) 或「工具」菜單 (Windows Me),然後單擊「選項」或「文件夾選項」。
   3. 單擊「查看」選項卡,如果必要,取消選中「隱藏已知文件類型的擴展名」。
   4. 單擊「顯示所有文件」,再單擊「確定」。

編輯 Win.ini 文件:

   1. 單擊「開始」,然後單擊「運行」。
   2. 鍵入 sysedit,然後單擊「確定」。
   3. 單擊 Win.ini 文件的標題欄。
   4. 在 【windows】 部分,找到 Run= 行,注意等號 (=) 後面的內容。例如,可能出現:
      run=C:\Windows\System\amiaamia.exe

      記錄下文件名,如amiaamia.exe。

5. 將游標置於等號 (=) 右側並刪除其後面的文本。完成後,該行應如下所示:


      run=

6. 單擊「文件」菜單,然後單擊「退出」。當詢問是否保存所做更改時,單擊「是」。

刪除插件文件:

   1. 單擊「開始」,指向「查找」,然後單擊「文件或文件夾」。
   2. 請確保「搜索」設置為 (C:),並且選中了「包含子文件夾」。
   3. 在「名稱」對話框中,鍵入上一部分步驟 4 中記錄的文件名。


      注意:上一部分步驟 4 中的文件名僅為一個示例。在 Win.ini 文件中生成這一項的插件會創建一個比較隨機的文件名。(文件名並不是完全隨機的,因為該文件名已被報告過多次。)文件名通常由八個字母組成,擴展名為 .exe。這八個字母實際由兩個相同的四字母序列組成。例如:
          o Gbpkgbpk.exe
          o Aboaaboa.exe
          o Enpeenpe.exe
          o Agaiagai.exe

4. 單擊「開始查找」。
5. 找到文件后,將其選定,按 Delete 鍵,然後單擊「是」確認。
6. 以正常模式重新啟動計算機。

注意:如果使用的是 Microsoft 系統配置實用程序來啟用啟動菜單,則此時可以禁用啟動菜單。這僅適用於 Windows 98 用戶。請執行下列操作:

   1. 單擊「開始」,然後單擊「運行」。
   2. 鍵入 msconfig,然後單擊「確定」。「系統配置實用程序」對話框出現。
   3. 在「常規」選項卡上單擊「高級」。
   4. 取消選中「啟用『啟動』菜單」,單擊「確定」,然後再次單擊「確定」。
   5. 重新啟動計算機。

提取 Wsock32.dll 文件的新副本:

此操作非常必要,因為該文件易被病毒感染,而在 Internet 訪問以及計算機使用方面,該文件至關重要。需要在 DOS 提示符下使用 Extract 命令,從 Windows 安裝文件中還原這些文件的完好副本。

該文件可從兩個位置提取:

    * 硬碟驅動器上的 Windows 安裝文件。在許多較新的計算機上,包含 Windows 安裝文件的 .cab 文件存儲在計算機的硬碟驅動器上。如果確定是屬於這種情況,請參閱「提取位於硬碟驅動器上的文件」部分。
    * Microsoft Windows 95/98 安裝光碟。如果 .cab 文件不位於硬碟驅動器上,請參閱「提取位於安裝光碟上的文件」部分。

警告:如果已經從 Windows 95 升級到 Windows 98,那麼除非能確定硬碟驅動器上的 cabinet 文件來自 Windows 98,否則,應該從安裝光碟上而不是從硬碟驅動器上的文件中提取該文件。

注意:

    * 提供這些指導是為了方便用戶。提取 Windows 文件使用的是 Microsoft 程序和命令。Symantec 不對 Microsoft 產品提供擔保支持或幫助。但是,為了用戶方便,現在 Symantec 為一系列非 Symantec 產品提供收費的技術支持與幫助,其中包括 Microsoft 的產品。可以撥打電話 (800) 745-6032 與 Symantec Multivendor Support 聯繫。另外,建議您與 Microsoft 聯繫以獲得有關此類問題的幫助。
    * 目前 Windows 安裝光碟有多種版本。這些版本可能將所需文件存放在 .cab 文件的不同位置。在下列指導中,提供的命令會指示提取程序在某一特定位置開始搜索,同時命令中還包含「/a」轉換參數。此命令轉換參數能使提取程序順次循環搜索下列所有的 cabinet 文件,直到找到所指示的文件為止。但是,它不會搜索前面提到的 .cab 文件。

提取位於硬碟驅動器上的文件:

   1. 鍵入 dir /s /b \precopy1.cab,然後按 Enter 鍵:這會顯示 Precopy1.cab 文件的路徑。如果找不到該文件,則 .cab 文件可能不位於硬碟驅動器上。在這種情況下,應跳到「提取位於安裝光碟上的文件」部分。
   2. 更改到 Precopy1.cab 文件所在的文件夾。
   3. 下一步操作取決於您使用的操作系統:

            注意:
                + 如果輸入任何命令后都出現 File not found,請確認鍵入的命令與下面顯示的命令完全一致。
                + 如果出現消息提示您是否覆蓋文件,請按代表「是」的 Y 鍵,然後按 Enter 鍵。
                + 如果 Windows 安裝在其他位置,請用正確的路徑替換命令中相應的部分。
            警告:請小心鍵入要提取文件的目標路徑,如 C:\Windows。如果鍵入一個不存在的目標文件夾,則提取命令將創建此新文件夾,並且在不提示您確認此創建的情況下,將文件提取到此文件夾內。結果會導致被感染的 Windows 系統文件未被覆蓋。
          o 如果使用的是 Windows 98,請鍵入下列命令,然後按 Enter 鍵:
            extract /a precopy1.cab wsock32.dll /L c:\windows\system
          o 如果使用的是 Windows 95,請鍵入下列命令,然後按 Enter 鍵:
            extract /a win95_10.cab wsock32.dll /L c:\windows\system

提取位於安裝光碟上的文件:

注意:

    * 下列指導適用於分發範圍最為廣泛的 CD 版 Windows 95/98 。不過,在眾多版本中有一部分是以軟盤形式分發的。每個版本的 .cab 文件所在的位置都可能不同,或者需要提取的文件所在的 .cab 文件不同。本文檔不包含對每個版本的指導。
    * 如果您的 Windows 安裝光碟與下列命令中顯示的不一致,則必須將命令中的路徑更改為與您所使用的版本對應的正確路徑。此外還必須找到包含要提取文件的 .cab 文件。有關詳細信息,請參閱文檔:哪些 cabinet 文件包含原始 Windows 文件?

   1. 在軟盤驅動器中插入 Windows 98 啟動盤。
   2. 在 CD-ROM 驅動器中插入 Windows 98 安裝光碟。
   3. 關閉計算機,然後等待三十秒鐘。
   4. 打開計算機。計算機進入到啟動菜單。
   5. 默認菜單項為 Start Computer with CD-ROM Support。不進行任何更改,而按 Enter 鍵。
   6. 允許計算機啟動到 A:\> 提示符。這一過程可能需要幾分鐘的時間。
   7. 下一步是轉到 CD-ROM 驅動器。因為使用的是啟動盤,所以驅動器盤符將比通常代表 CD-ROM 驅動器的盤符高一位。例如,如果 CD-ROM 驅動器在 Windows 中為驅動器 D,則為驅動器 E。


      鍵入下列內容(如有必要,更改驅動器盤符),然後按 Enter 鍵:
      e:\win98(如果安裝盤是用於 Windows 98 的)

      或
      e:\win95(如果安裝盤是用於 Windows 95 的)

      如果出現錯誤消息,則嘗試重新鍵入命令,但使用另一驅動器盤符,如 f:\win98

8. 下一步操作取決於您所運行的 Windows 版本:

            注意:
                + 如果輸入任何命令后都出現 File not found,請確認鍵入的命令與下面顯示的命令完全一致。
                + 如果出現消息詢問您是否覆蓋文件,請按代表「是」的 Y 鍵,然後按 Enter 鍵。
                + 如果 Windows 安裝在其他位置,請替換為適當的路徑。

            警告:請小心鍵入要提取文件的目標路徑,如 C:\Windows。如果鍵入一個不存在的目標文件夾,則提取命令將創建此新文件夾,並且在不提示您確認此創建的情況下,將文件提取到此文件夾內。結果會導致被感染的 Windows 系統文件未被覆蓋。
          o 如果運行的是 Windows 98,請鍵入下列命令,然後按 Enter 鍵:
            extract /a precopy1.cab wsock32.dll /L c:\windows\system
          o 如果運行的是 Windows 95,請鍵入下列命令,然後按 Enter 鍵:
            extract /a win95_10.cab wsock32.dll /L c:\windows\system

如果未出現任何錯誤消息,則說明提取過程已完成。

再次運行掃描
要確認現在已刪除了所有的被感染文件,請運行 LiveUpdate,然後運行完整的系統掃描。





描述者: Richard Cave

上一篇[薩寶]  

相關評論

同義詞:暫無同義詞