W32.Bugbear@mm

別名： W32/Bugbear-A [Sophos], WORM_BUGBEAR.A [Trend], Win32.Bugbear [CA], W32/Bugbear@MM [McAfee], I-Worm.Tanatos [AVP], W32/Bugbear [Panda], Tanatos [F-Secure]

感染長度： 50,688 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 參考： CVE-2001-0154

由於提交率的減少，Symantec 安全回響中心自 2003 年10 月 24 日起將此威脅級別從 3 類降級為 2 類。

W32.Bugbear@mm是一種群發郵件蠕蟲。 它也能通過網路共享擴散。它具有紀錄鍵盤輸入和預留後門能力。該蠕蟲也會嘗試著關閉各種防病毒和防火牆程式。

它在 Microsoft Visual C++ 下編寫並通過UPX v0.76.1-1.22壓縮。

* 病毒定義（每周 LiveUpdate™） 2002 年 9 月 30 日

* 病毒定義（智慧型更新程式） 2002 年 9 月 30 日

威脅評估

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： High

* 威脅抑制： Moderate

* 清除： Moderate

%System% 是一個變數。蠕蟲會找到 Windows 主安裝資料夾（默認位置是C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP)，然後將自身複製到該位置。

它會將自己複製到\Startup\****.exe, * 代表病毒選擇的字母。例如：

o 在Windows 95/98/Me下，它可能將自己複製到C:\Windows\Start Menu\Programs\Startup\Cuu.exe

o 在Windows NT/2000/XP 下，它可能將自己複製到C:\Documents and Settings\< current user name>\Start Menu\Programs\Startup\Cti.exe

它在%system%資料夾中創建 三個加密的 .dll 檔案，在%windir%資料夾中創建兩個加密的 .dat 檔案。其中的一個 .dll 檔案會被蠕蟲用來將 Hook（掛鈎）程式安裝到 Hook Chain（掛鈎鏈）來監視系統的鍵盤和滑鼠輸入。此類的掛鈎鏈程式會將收到的信息傳遞到當前鏈的下一個環節中。該鏈使得病毒能夠解讀鍵盤輸入。該 .dll 檔案大小為 5,632 位元組。賽門鐵克 防病毒產品將其標識為PWS.Hooker.Trojan。下面是該程式的圖解：

（圖中說明文字：PWS.Hooker.Trojan 攔截鍵盤輸入訊息，將其處理後傳遞至掛鈎鏈的下一個掛鈎程式。）

攔截到的鍵盤輸入訊息可能是用戶的登錄信息、密碼、信用卡號等等。不論這些信息最終是否加密後通過隱秘通道傳輸，駭客都能偵測或掌握它們。

Symantec 防病毒產品檢測不到的檔案沒有危害性。該蠕蟲會使用一些檔案存儲一個加密的內部設定信息。這些檔案需要被刪除。例如，

o %system%\Iccyoa.dll

o %system%\Lgguqaa.dll

o %system%\Roomuaa.dll

o %windir%\Okkqsa.dat

o %windir%\Ussiwa.dat

注意： %windir% 是一個變數。 蠕蟲會找到 \Windows 資料夾（默認位置是 C:\Windows 或 C:\Winnt），然後將自身複製到該位置。

它在註冊表鍵

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

* 損壞級別： Medium

* 大規模傳送電子郵件： Attemps to mass-mail to addresses harvested from a compromised host using it's own SMTP engine

* 危及安全設定： May allow unauthorized access to compromised machines. Attempts to terminate processes of various antivirus and firewall programs.

* 分發級別： High

* 電子郵件的主題： Variable

* 附屬檔案名稱： Variable, with double extension ending in .exe, .scr, or .pif

* 附屬檔案大小： 50,688 bytes

* 連線埠： 36794

* 共享驅動器： Attempts to connect to available network resources

W32.Bugbear@mm 運行時，將執行下列操作：

它會將自己複製到%system%\****.exe, * 代表蠕蟲選擇的字母。

<random letters> <the worm filename>

注意： 通常, 作業系統會在啟動這些值所指的程式時從鍵中刪除這些值。由此，蠕蟲能重新創建這些值以使自己在 Windows 啟動時啟動。

該病毒具有四種危害。一，每隔 30 秒鐘它會阻止下列程式在系統中運行：

單擊箭頭打開程式清單

該病毒會根據不同的作業系統選擇不同的方法來達到目的。

它會在當前的信箱和檔案中，找尋具有下列擴展名的email 地址：

o .mmf

o .nch

o .mbx

o .eml

o .tbb

o .dbx

o .ocs

蠕蟲會從下列註冊表鍵中獲得計算機用戶的 SMTP 伺服器和電子郵件地址：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts

接著，蠕蟲使用自己的 SMTP 引擎將自身傳送到所有找到的電子郵件地址。蠕蟲也能使用在受感染計算機上收集的信息來構造發信人地址欄。比如，如果蠕蟲發現下列地址：[email protected]，[email protected] 和 [email protected]，它會使用一個名為 “[email protected]” 的發信人地址向 “[email protected]” 地址發信。蠕蟲有時也會冒用找到的合法電子郵件地址。

除下列 Email 信息主題外，蠕蟲也會回復、轉發受感染電腦上現有的郵件。

單擊箭頭打開清單

該蠕蟲從下列註冊表鍵讀取 Personal 值的內容：

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

並列出在此存儲的檔案，默認值為： C:\My Documents 在 Windows 95/98/Me 和 C:\Documents and Settings\<User Name>\My Documents 在 Windows NT/2000/XP。 這些檔案名稱會被用來組成病毒附屬檔案檔案的名稱。該檔案名稱可能包含下列字元串：

o readme

o Setup

o Card

o Docs

o news

o image

o images

o pics

o resume

o photo

o video

o music

o song

o data

檔案擴展名會是下列其中之一:

o .scr

o .pif

o .exe

如果蠕蟲使用 My Documents 資料夾中的一個檔案名稱，它會“調整” email 信息的類型使其符合檔案擴展名。這些擴展名包括：

o .reg

o .ini

o .bat

o .diz

o .txt

o .cpp

o .html

o .htm

o .jpeg

o .jpg

o .gif

o .cpl

o .dll

o .vxd

o .sys

o .com

o .exe

o .bmp

信息的內容類型會被修改為如下列所示：

o text/html

o text/plain

o application/octet-stream

o image/jpeg

o image/gif

郵件信息也許會使用 不正確的的 MIMIE 表頭可能導致 IE 執行電子郵件附屬檔案（英文文檔） 之類的弱點在未防護的系統上自動執行。

威脅三是一種後門程式。它會打開連線埠 36794 用來監聽駭客發出的指令，包括：

o 刪除檔案

o 結束程式

o 列出程式清單並將其傳送給駭客

o 拷貝檔案

o 開啟程式

o 列出檔案清單並將其傳送給駭客

o 攔截的鍵盤輸入並將其傳送給駭客，比如密碼、登錄信息等。

o 將系統信息以下列格式傳送給駭客：

+ 用戶名： <用戶名稱>

+ 處理器： <所用處理器>

+ Windows 版本：<Windows 版本，build 號碼>

+ 記憶體信息： <可用記憶體，等等。>

+ 顯示本機磁碟及類型 (比如 Ramdisk/CD-Rom/Remote/Fixed/Removable，以及硬體特徵。

o 列出網路資源及其類型並將資料傳送給駭客

如果作業系統是 Windows 95/98/Me, 蠕蟲會試圖取得快取中的密碼。快取中的密碼包括撥號網路密碼、URL密碼、已分享檔案目錄密碼等等。該功能通過未正式紀錄的 WnetEnumCachedPasswords 來實現，這個功能只存在於 Windows95/98/Me 下的 Mpr.dll 檔案中。

蠕蟲後門程式接受的指令需要密碼確認，指令和必要的指令參數緊跟其後。比如，下面是指令 “i” 對應的螢幕信息：

Server: '<ISCHIA>'

User: 'Ischia'

Processor: I586

Win32 on Windows 95 v4.10 build 1998

-

Memory: 127M in use: 50% Page file: 1920M free: 1878M

C:\ - Fixed Sec/Clust: 64 Byts/Sec: 512, Bytes free: 2147155968/2147155968

D:\ - CD-ROM

Network:

unknow cont (null) (Microsoft Network)

unknow cont (null) (Microsoft Family Logon)

“h” 指令允許特洛伊木馬組件利用 HTTP 80 連線埠傳送數據。後門程式操作的結果可以以 HTML 頁面形式表現出來。這樣一來駭客就能輕易瀏覽遭侵害計算機上的資源。 比如，假設被入侵的電腦是“Ischia”，下面是該參數的執行情況：

遠端使用者可向該計算機上傳檔案。單擊視窗中的 .txt 檔案，文檔內容會顯示在一個瀏覽器中。單擊其他檔案則會出現一個下載視窗來下載該檔案。

威脅四是蠕蟲通過網路的傳播。為此，蠕蟲列出網路中的所有資源。當它找到開放的管理員已分享資料夾後，會試圖將自己複製到遠端計算機的 Startup 目錄。這樣一來，受到侵害的計算機一旦開機便會感染。

因為蠕蟲不能適當區別網路資源類型，它可能會使印表機資源溢出導致其列印出亂碼或發生故障。

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

* 移除蠕蟲前請先斷開計算機與 Internet 的連線。在重新連入網路前，請先關閉或使用密碼保護已分享檔案夾，或設定已分享檔案夾為“唯讀”。更多信息請參照 How to configure shared Windows folders for maximum network protection。

* 從網路中清除蠕蟲前，確認每個共享資料夾已關閉或設為“唯讀”。

使用 W32.Bugbear@mm 防毒工具

這是最簡單快速的方法。單擊這裡獲取防毒工具。

作為防毒工具的替代，您也可以依照下列說明手動刪除。

注意：以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。

1. 更新病毒定義。

2. 將計算機重新啟動到安全模式。

3. 執行完整的系統掃描，刪除所有探測到的 W32.Bugbear@mm檔案。

4. 從下列註冊表鍵中刪除蠕蟲所加入的值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

有關如何完成此操作的詳細信息，請參閱下列指導。

獲得最新的病毒定義

注意：如果蠕蟲當前駐存在計算機中，您將不能夠運行 LiveUpdate。這種情況下，您必須使用智慧型更新程式來下載病毒定義。

o 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。 這些病毒定義經過 Symantec 安全回響中心的全面質量監控檢測，如果未遇重大病毒爆發情況，會每周在 LiveUpdate 伺服器上發布一次（一般為星期三）。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義 (LiveUpdate) 行。

o 使用“智慧型更新程式”下載病毒定義。 “智慧型更新程式”病毒定義已經過 Symantec 安全回響中心的全面質量監控檢測， 會在工作日（周一至周五，美國時間）發布。 必須從 Symantec 安全回響中心 Web 站點下載病毒定義，並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義（智慧型更新程式）行。

“智慧型更新程式” 病毒定義可從此處獲得。 有關如何從 Symantec 安全回響中心 Web 站點下載和安裝“智慧型更新程式”病毒定義的詳細指導，請單擊此處。

以安全模式重新啟動計算機。 除 Windows NT 外，所有的 Windows 32 位作業系統均可以安全模式重新啟動。 有關如何完成此操作的指導，請參閱文檔：如何以安全模式啟動計算機。

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* NAV 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。

2. 運行完整的系統掃描。

3. 如果有任何檔案被檢測為感染了 W32. Bugbear@mm，請單擊“刪除”。

從註冊表刪除值：

警告：Symantec 強烈建議在更改註冊表之前先進行備份。 如果對註冊表進行了不正確的更改，可能導致永久性數據丟失或檔案損壞。 請僅修改指定的鍵。 有關指導，請參閱文檔：如何備份 Windows 註冊表。

1. 單擊“開始”，然後單擊“運行”。 出現“運行”對話框。

2. 鍵入 regedit，然後單擊“確定”。 將打開“註冊表編輯器”。

3. 瀏覽到以下鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

4. 在右邊的視窗中，找到蠕蟲檔案所參照值並刪除。

5. 退出註冊表鍵編輯器。

描述者： Yana Liu