两个重要的病毒警告在同一个月里出现对我们来说并不常见,更不要说在同时出现。W32.Bady.Worm@mm(红色代码)和W32.SirCam.Worm@mm(Cam先生)对网络运行(红色代码)和个人隐私(Cam先生)的严重威胁已经被大家充分认识。赛门铁克一直在致力于编写、测试和发布针对这两种病毒的相关的防病毒和入侵监测产品的更新版本。
当红色代码病毒的活跃期刚刚过去,我们又发现了一个名为VBS.Potok@mm的病毒,它是一个简单的基于NT平台的VBScript蠕虫,我们已经就此发出了3级警告。
EICAR的Urs Gattiker发出了下一届EICAR大会的论文征集通告,本期新闻快报的结尾有关于这个大会的详细信息。明年的大会将于2002年6月8至11日在德国柏林召开,您可以在下面的网址查到更详细的信息:http://conference.eicar.org
--- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
以下是SARC全球办公室上个月接到提交最多的病毒、蠕虫和特洛伊木马:
一级威胁:
W95.Hybris - www.sarc.com/avcenter/venc/data/w95.hybris.gen.html
W32.Sircam.Worm@mm - www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html
W32.Magistr.24876@mm - www.sarc.com/avcenter/venc/data/w32.magistr.24876@mm.html
VBS.Haptime.A@mm - www.symantec.com/avcenter/venc/data/vbs.haptime.a@mm.html
W95.MTX - www.sarc.com/avcenter/venc/data/w95.mtx.html
Wscript.KakWorm - www.sarc.com/avcenter/venc/data/wscript.kakworm.html
W32.HLLW.Bymer - www.sarc.com/avcenter/venc/data/w32.hllw.bymer.html
特洛伊木马
W32.Badtrans.13312@mm - www.sarc.com/avcenter/venc/data/w32.badtrans.13312@mm.html
W95.SoFunny.Worm@m
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
蠕虫病毒
红色代码II 蠕虫 严重危害(等级4)主要感染Win32
红色代码II在2001年8月4日被发现。已经认定,它是红色代码蠕虫的变种,因为它也使用同样的“缓冲溢出”的方法感染其它Web服务器。赛门铁克病毒防治研究中心收到大量的IIS网络服务器被此病毒感染的报告。红色代码II确实有很大的威胁性。
红色代码通过一个有效载荷对白宫的Web服务器进行DoS(拒绝服务)攻击。而红色代码II有一个不同的有效载荷,允许黑客对服务器拥有彻底的远程访问。
赛门铁克病毒防治研究中心已经开发出一个工具用来检查你的电脑是否已经被感染红色代码和红色代码II,并把它们从你的电脑清除。欲获得清除红色代码的工具,请点这里。
此外,赛门铁克还提供一个免费工具 —— 赛门铁克安全检测(Symantec Security Check),你可以使用它来检测你的电脑是否处在威胁当中。这个工具有两种格式,而且都是免费的。点击这里开始在线检测,或者点这里将这个工具下载到你的电脑。
如果你使用的是微软的IIS服务器,我们强烈建议你去下载微软最新的补丁程序,用来保护你的电脑不受蠕虫的侵扰。补丁可以在http://www.microsoft.com/technet/security/bulletin/MS01-033.asp 找到。
诺顿防病毒软件通过对这个蠕虫的Trojan.VirtualRoot(特洛伊虚拟源)的有效载荷(特洛伊木马组件)检测,来检测Web服务器是否被感染。
详细情况可从http://www.sarc.com/avcenter/venc/data/codered.v3.html得到。
由美国赛门铁克病毒防治研究中心(SARC)提供
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
W32.Sircam.Worm@mm 严重危害(等级4)主要感染Win32
W32.Sircam.Worm@mm包括一个它自己的SMTP引擎,传播方式和W32.Magistr.Worm类似。由于它的一个漏洞,这个蠕虫在Windows NT和2000下不能被复制。
这个蠕虫有两个有效载荷,一个是:日期是10月16日时,或一些附件内容会导致文件被删除;另一个是如果删除文件发生或者在完成8000个执行后,空间将被有效载荷填满。
蠕虫会从被感染的电脑中任意选择一个文件做附件,然后通过电子邮件发送这个新生成的文件。这里存在二十分之一的可能,C盘下的全部文件和目录将被删除。当然,这种情况只有当10月16日,并且用户使用的日期格式是日/月/年时才会发生。但是,假如附件的文件内容里包含“FS2”而没有跟“sc”,它就总被激活。这里存在五十分之一的可能,所有C盘上的剩余空间都会被文件c:\recycaled\sircam.sys填满。它会从硬盘中任意导出一个文件做附件,电子邮件的标题是附件的文件名,而文件来自发送者的电脑,只是添加了.bat、.com、.lnk或者.pif等扩展名。附件至少有134kb大。Sircam一旦搜索到共享的驱动器,就将自己复制到里面。
详细情况可从http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html得到。
由美国赛门铁克病毒防治研究中心(SARC)提供
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
VBS.Potok@mm 中等危害(等级3)感染Script
VBS.Potok@mm蠕虫是一个简单的VBScript,它利用一个Windows NT/2000很少有人知道的特性来传播。它将自己发送到微软Outlook地址簿中的前五十个收件人。它试图在被感染的电脑上添加一个新用户,获得管理员权限。赛门铁克病毒防治研究中心得到的这个蠕虫样本中存在漏洞,使它不能正常运行。
赛门铁克病毒防治研究中心已经开发了一个工具用来修复任何感染。点这里下载这个工具。
详细情况可从http://www.sarc.com/avcenter/venc/data/vbs.potok@mm.html得到。
由中东地区赛门铁克病毒防治研究中心(SARC)提供
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
病毒
W32.HLLO.Videoinf 危害极小(等级1)感染Win32
W32.HLLO.Videoinf是一种病毒,它覆盖当前文件夹里所有的.ht*和.exe文件。它从自己运行的电脑上向一个电子邮件地址发送信息。在特定的日期,病毒将修改C:\Autoexec.bat文件,电脑重新启动时,硬盘将被格式化。
详细情况可从http://www.sarc.com/avcenter/venc/data/w32.hllo.videoinf.html得到。
由美国赛门铁克病毒防治研究中心(SARC)提供
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
特洛伊木马
Trojan.Diagcfg 危害极小(等级1)感染Win32
这个特洛伊木马修改注册表,以便它在Windows启动时运行。它通过端口6967来监听各种指令。它通过电子邮件向病毒制造者发送其连接主机的IP地址和其他相关信息。假如这个程序在已经运行时,再次被运行,它会显示:This program is part of the system and can not be run separately(这个程序是本系统的一部分,无法单独运行).
详细情况可从http://www.sarc.com/avcenter/venc/data/trojan.diagcfg.html得到。
由美国赛门铁克病毒防治研究中心(SARC)提供
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
访问赛门铁克企业安全网站
请浏览赛门铁克企业安全网站:http://enterprisesecurity.symantec.com/
近期的赛门铁克企业安全新闻标题包括:
烈士还是罪犯?俄罗斯程序员在圣何塞监狱服刑,有关电子版权法的争论日趋白热化。来源:旧金山编年史
http://enterprisesecurity.symantec.com/content.cfm?articleid=823
谨防缩小带来的报复。来源:VNU计算
http://enterprisesecurity.symantec.com/content.cfm?articleid=821
在目录协议中发现的安全弱点。来源:计算机世界
http://enterprisesecurity.symantec.com/content.cfm?articleid=812
如需使最新的企业安全消息直达你的邮箱,请通过
https://enterprisesecurity.symantec.com/Content/Subscribe.cfm 订阅赛门铁克的免费企业安全通讯
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
第三届欧洲反Malware大会暨第十一届EICAR年会
http://Conference.EICAR.org
德国,柏林,2002年6月8日至11日
第一次论文提交期限是:2001年12月1日
这届大会将汇集来自业界、政府、学术机构和科研单位的专家,和对最新进展感兴趣的最终用户。
我们感兴趣的论文主题包括:恶意的代码和不希望看到的副作用或故障、信息时代、战争与社会、加密与隐私保护、新媒体和电子商务、电子支付。研究论文、案例分析、目前正在研究中项目的简短论文、座谈小组、大会、工作组和教学指南来者不拒。当你在提交论文时请明确标出你的论文所属范围。
年会将推出最佳论文奖、研究奖、最佳论文录等等。来演讲的作者免交报名费。更详细的介绍请浏览:http://Conference.EICAR.org/?Author
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
具有头号威胁的最新病毒:
下面的列表来自赛门铁克病毒防治研究中心全球办公室的头号威胁病毒的报告:
亚太区:
W32.Sircam.Worm@mm
W95.Hybris
W32.Magistr.24876@mm
VBS.Haptime.A@mm
W95.MTX
Wscript.KakWorm
W32.HLLW.Bymer
W32.Badtrans.13312@mm
Trojan Horse
Backdoor.Trojan
欧洲:
W95.Hybris
W32.Sircam.Worm@mm
W32.Magistr.24876@mm
W95.MTX
VBS.Haptime.A@mm
Wscript.KakWorm
Trojan Horse
W32.HLLW.Bymer
JS.Seeker
W32.Choke.Worm
日本:
W95.Hybris
W32.Sircam.Worm@mm
W95.MTX
W32.Magistr.24876@mm
W32.HLLW.Bymer
Trojan Horse
VBS.Haptime.A@mm
Backdoor.Sadmind
JS.Seeker
W32.HLLW.Qaz.A
美国
W95.Hybris
W32.Sircam.Worm@mm
W32.Magistr.24876@mm
VBS.Haptime.A@mm
Wscript.KakWorm
W95.SoFunny.Worm@m
W95.MTX
W32.HLLW.Bymer
W32.Badtrans.13312@mm
Trojan Horse
可以从下列网址查询到向赛门铁克提交的谎报病毒:
http://www.sarc.com/avcenter/hoax.html
8月赛门铁克没有得到新的玩笑程序,详情见:
http://www.sarc.com/avcenter/jokes.html
安全网站(http://securityportal.com/research/virus/virustop20.html)列出的全球前20位的病毒:
W32.Sircam.Worm@mm
VBS.LoveLetter Family
W32.Funlove
W32.Hybris
W32.BadTrans.A@MM
PWSteal.Trojan
VBS.Stages.A
VBS.Kakworm
W95.MTX
W95.Choke.Worm
VBS.Haptime@MM
VBS.VBSWG.X@mm
(alias Homepage)
W97M.Marker Family
W97M.Thus
W97M.Ethan Family
O97M.Tristate.C
Happy99.Worm
(aka W32.Ska )
W32.HLLW.Bymer
W32.Navidad
赛门铁克病毒研治研究中心在以下网址,对以下的病毒提供清除工具:
http://www.sarc.com/avcenter/tools.list.html
赛门铁克病毒防治研究中心术语表
如需查看病毒、特洛伊木马和其他术语的定义,请参阅赛门铁克防病毒防治研究中心的参考网页http://www.sarc.com/avcenter/refa.html
