Virus | Spyware
Bofra.E
Con questi Web site potete rimuovere il virus di Bofra.E:
rimuova Bofra.E virus
W32.Bofra.E@mm è una vite senza fine massa-spedente che sfrutta la vulnerabilità a distanza deforme di trabocco dell'amplificatore del Microsoft Internet Explorer IFRAME (come descritto nell'identificazione 11515 di Bugtraq). Si sparge trasmettendo gli indirizzi del email che trova su un calcolatore infettato.Quando W32.Bofra.E@mm funziona, realizza le seguenti azioni:
Genera la seguente lima %System%\[randomname]32.exe, usando le lettere minuscole casuali come nome di archivio.
Nota: %System% è una variabile che si riferisce al dispositivo di piegatura del sistema. Per difetto questo è C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows.xp).
Aggiunge uno di seguenti valori:
"Reactor8" = "%System%\[randomname]32.exe"
"Reactor9" = "%System%\[randomname]32.exe"
ad una di seguenti chiavi di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
in moda da eseguirlo sempre esso Windows comincia.
Genera una di seguenti entrate di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
Cancella i seguenti valori:
"centro"
"reattore"
"rhino"
"Reactor3"
"Reactor4"
"Reactor5"
"Reactor6"
"Reactor7"
"Reactor8"
dalla chiave di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tentativi di iniettare il relativo codice come filetto nei processi con un nome del codice categoria della finestra "di Shell_TrayWnd" o nel processo che funziona nella priorità alta.
Se riuscita, questa vite senza fine continuerà a funzionare all'interno del processo infettato.
Tutte le azioni descritte al punto seguente sembrano essere fatte tramite il processo infettato e la vite senza fine non mostrerà quando osserva la lista trattata nel responsabile di operazione di Windows. Se infruttuosa, la vite senza fine continuerà a funzionare come relativo proprio processo.
I funzionamenti come assistente del HTTP sul TCP port 1639.
Quando il wom ottiene un HTTP OTTENGA la richiesta che non contiene "il reattore," esso trasmette un codice delle coperture alla macchina a distanza, che contiene la vulnerabilità di IFRAME (come descritto nell'identificazione 11515 di Bugtraq). La macchina a distanza farà funzionare il codice delle coperture per trasmettere un HTTP OTTIENE la richiesta che contiene "il reattore" nell'ordine.
Quando la vite senza fine ottiene un HTTP OTTENGA la richiesta che contiene "il reattore," esso si trasmette alla macchina a distanza. Il codice delle coperture che funziona sulla macchina a distanza allora esegue la vite senza fine.
Nota: La vite senza fine può usare altri orificii di TCP al lato di 1639.
Tentativi di collegare ai seguenti assistenti del IRC sull'orificio 6667 di TCP:
qis.md.us.dal.net
ced.dal.net
viking.dal.net
vancouver.dal.net
ozbytes.dal.net
broadway.ny.us.dal.net
coins.dal.net
lulea.se.eu.undernet.org
diemen.nl.eu.undernet.org
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
Riunisce gli indirizzi del email dal libro di indirizzo di Windows e dalle lime con le seguenti estensioni:
txt
htmb
shtl
phpq
aspd
dbxn
tbbg
adbh
pl
wab
Evita di trasmettere agli indirizzi del email che rispondono ai seguenti test di verifica:
Contiene c'è ne di seguenti stringhe nel dominio recettivo:
Berkeley
UNIX
per la matematica
BSD
mit.e
gnu
fsf.
ibm.com
nocciolo
linux
fido
USENET
IANA
IETF
RFC-RFC-ED
sendmail
arin.
maturo.
isi.e
isc.o
secur
acketst
PGP
tanford.e
utgers.ed
mozilla
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
esempio
mydomai
nodomai
ruslis
gov
governo.
mil
foo.
Richiama di cui i nomi cominciano con uno di quanto segue:
radice
Info
campioni
postmaster
webmaster
nessuno
nessuno
niente
chiunque
qualcuno
vostro
voi
me
insetti
valutazione
luogo
contatto
morbido
no
qualcuno
segretezza
servizio
aiuto
non
presenti
feste
ca
oro-certs
the.bat
pagina
spm
abuso
WWW
secur
Richiama di cui i nomi contengono uno di quanto segue:
admin
icrosoft
supporto
ntivi
UNIX
BSD
linux
listserv
certific
accoun
Spam
Utilizza il relativo proprio motore dello smtp per trasmettersi agli indirizzi del email che trova.
Il email ha le seguenti caratteristiche:
Da: (spoofed)
Oggetto: (uno di quanto segue)
Hi!
hey!
< spazio in bianco >
Conferma
Testo del messaggio:
Intestazione:(One di quanto segue)
X-AntiVirus: esplorato per i virus da AMaViS 0.2.1 (http:/ /amavis.org/)
X-AntiVirus: Controllato da Dr.Web (http:/ /www.drweb.net)
X-AntiVirus: Controllato per vedere se ci sono virus dal software del AntiVirus del Gordano
Corpo:(One di quanto segue)
Hi! Sto cercando i nuovi amici.
Il mio nome è Jane, io provengo da Miami, FL.
Veda il mio homepage con il miei weblog ed ultimo webcam
foto!
Vedali!
Hi! Sto cercando i nuovi amici. Provengo da Miami, FL. Potete
veda il mio homepage con le mie ultime foto del webcam!
Congratulazioni! PayPal ha caricato con successo $175 al vostro accreditamento
scheda. Il vostro numero d'inseguimento di ordine è A866DEC0 ed il vostro articolo sarà
spedito entro tre giorni di affari.
Per vedere i particolari soddisfano lo scatto questo collegamento
NON RISPONDA A QUESTO MESSAGGIO VIA IL EMAIL! Questo email sta trasmettendo vicino
un sistema automatizzato del messaggio e la risposta non saranno ricevuti.
Grazie per usando PayPal.
dove "il homepage" o "il collegamento" è un hyperlink quel collegamenti di nuovo ad una macchina a distanza da cui il email è stato trasmesso. Per esempio, il hyperlink può essere IP address di http://
La posta può anche contenere uno di quanto segue:
X-AntiVirus: esplorato per i virus da AMaViS 0.2.1 (http://amavis.org/)
X-AntiVirus: Controllato per vedere se ci sono virus dal software del AntiVirus del Gordano
X-AntiVirus: Controllato da Dr.Web (http://www.drweb.net)
La vite senza fine termina, se eseguito il o dopo il 16 dicembre 2004.
La risposta di sicurezza di Symantec consiglia a tutti gli utenti e coordinatori aderirsi alla seguente sicurezza di base "pratiche migliori":
Spenga e rimuova i servizi non necessari. Per difetto, molti sistemi operativi installano i servizi ausiliarii che non sono critici, quale un ftp server, telnet e un web server. Questi servizi sono viali dell'attacco. Se sono rimossi, le minacce mescolate hanno meno viali dell'attacco ed avete pochi servizi da effettuare attraverso gli aggiornamenti della zona.
Se una minaccia mescolata sfrutta uno o più servizi di rete, inabiliti, o ostruisca l'accesso a, quei servizi fino ad applicare una zona.
Sempre mantenga i vostri livelli della zona aggiornati, particolarmente sui calcolatori che ospitano i servizi pubblici e sono accessibili attraverso la parete refrattaria, quali il HTTP, il ftp, la posta ed i servizi di DNS (per esempio, tutti i calcolatori windows-based dovrebbero avere il pacchetto corrente di servizio installato). Ulteriormente, applichi prego tutti gli aggiornamenti di sicurezza che sono accennati in questo articolo, nei bollettini di fiducia di sicurezza, o sui luoghi di fotoricettore del fornitore.
Faccia rispettare una politica di parola d'accesso. Le parole d'accesso complesse lo rendono difficile spezzare le lime di parola d'accesso sui calcolatori compromessi. Ciò contribuisce ad impedire o limitare danni quando un calcolatore si compromette.
Configuri il vostro assistente del email per ostruire o rimuovere il email che contiene i collegamenti della lima che sono utilizzati comunemente per spargere i virus, quali le lime dei vbs, del bat, del exe, del pif e del scr.
Isoli rapidamente i calcolatori infettati per evitare più ulteriormente il compromesso della vostra organizzazione. Effettui un'analisi legale e ristabilisca i calcolatori usando i mezzi di fiducia.
Addestri gli impiegati per non aprire i collegamenti a meno che stiano prevedendoli. Inoltre, non esegua il software che sia trasferito dal Internet a meno che sia stato esplorato per i virus. Semplicemente visitare un Web site compromesso può causare l'infezione se determinate vulnerabilità del browser non sono rattoppate.
Le seguenti istruzioni appartengono tutti i prodotti correnti e recenti di antivirus di Symantec, compreso serie di prodotti di Symantec AntiVirus e di Norton AntiVirus.
Inabiliti Il Restore Del Sistema (Windows Me/XP).
Aggiorni le definizioni del virus.
Faccia funzionare un'esplorazione completa del sistema e cancelli tutte le lime rilevate come W32.Bofra.E@mm.
Cancelli il valore che è stato aggiunto alla registrazione.
Per i particolari specifici su ciascuno di questi punti, legga le seguenti istruzioni.
1. Per inabilitare restore del sistema (Windows Me/XP)
Se state facendo funzionare Windows me o Windows.xp, suggeriamo che temporaneamente spegnete il restore del sistema. Windows Me/XP usa questa caratteristica, che è permessa per difetto, per ripristinare le lime sul vostro calcolatore nel caso sono danneggiate. Se un virus, una vite senza fine, o un Trojan infetta un calcolatore, il restore del sistema può sostenere il virus, la vite senza fine, o il Trojan sul calcolatore.
Windows impedisce i programmi esterni, compreso i programmi di antivirus, restore di modificazione del sistema. Di conseguenza, i programmi di antivirus o gli attrezzi non possono rimuovere le minacce nel dispositivo di piegatura di restore del sistema. Di conseguenza, il restore del sistema ha il potenziale di ripristino della lima infettata sul vostro calcolatore, anche dopo che avete liberato le lime infettate da tutte le altre posizioni.
Inoltre, un'esplorazione del virus può rilevare una minaccia nel dispositivo di piegatura di restore del sistema anche se avete rimosso la minaccia.
Per le istruzioni su come spegnere il restore del sistema, legga la vostra documentazione di Windows, o uno di seguenti articoli:
"come inabilitare o permettere Windows me restore del sistema"
"come spegnere o accendere restore del sistema di Windows.xp"
Nota: Quando completamente siete rifiniti con il metodo di rimozione e siete soddisfatti che la minaccia è stata rimossa, re-enable il restore del sistema tramite dopo le istruzioni nei documenti sopraccennati.
Per le informazioni supplementari e un'alternativa ad inabilitare Windows me restore del sistema, vedo l'articolo della base di conoscenza del Microsoft, "attrezzi di Antivirus non posso pulire le lime infettate _ nel dispositivo di piegatura di restore," identificazione dell'articolo: Q263455.
2. Per aggiornare le definizioni del virus
La risposta di sicurezza di Symantec completamente verifica tutte le definizioni del virus a garanzia della qualità prima che siano inviate ai nostri assistenti. Ci sono due sensi ottenere le definizioni del virus più recenti:
LiveUpdate funzionante, che è il senso più facile ottenere le definizioni del virus: Queste definizioni del virus sono inviate agli assistenti di LiveUpdate una volta che ogni settimana (solitamente al mercoledì), a meno che ci sia uno scoppio importante del virus. Per determinare se le definizioni per questa minaccia siano disponibili da LiveUpdate, riferiscasi alle definizioni del virus (LiveUpdate).
Trasferimento dal sistema centrale verso i satelliti delle definizioni dal sistema centrale verso i satelliti usando il Updater intelligente: Le definizioni intelligenti del virus di Updater sono inviate giornalmente. Dovreste trasferire le definizioni dal sistema centrale verso i satelliti dal Web site di risposta di sicurezza di Symantec ed installarli manualmente. Per determinare se le definizioni per questa minaccia siano disponibili dal Updater intelligente, riferiscasi alle definizioni del virus (Updater intelligente).
Le definizioni intelligenti del virus di Updater sono disponibili: Colto "come aggiornare la definizione del virus archivia usando il Updater intelligente" per le istruzioni dettagliate.
3. Per esplorare per e cancellare le lime infettate
Inizi il vostro programma di antivirus di Symantec ed assicurisi che è configurato per esaminare tutte le lime.
Per i prodotti di consumatore di Norton AntiVirus: Legga il documento, "come configurare Norton AntiVirus per esaminare tutte le lime."
Per i prodotti di impresa di Symantec AntiVirus: Legga il documento, "come verificare che un prodotto corporativo di antivirus di Symantec è regolato per esaminare tutte le lime."
Faccia funzionare un'esplorazione completa del sistema.
Se delle lime sono rilevate come infettate con W32.Bofra.E@mm, cancellazione di scatto.
Nota: Se il vostro prodotto di antivirus di Symantec segnala che non può cancellare una lima infettata, Windows può usare la lima. Per riparare questo, faccia funzionare l'esplorazione nel modo sicuro. Per le istruzioni, legga il documento, "come avviare il calcolatore nel modo sicuro." Una volta che avete ricominciato nel modo sicuro, faccia funzionare ancora l'esplorazione.
(dopo che le lime siano cancellate, potete lasciare il calcolatore nel modo sicuro e procedere alla parte 4. Quando quello è fatto, ricominci il calcolatore nel modo normale.)
4. Per cancellare il valore dalla registrazione
Importante: Symantec suggerisce vivamente che sostenete la registrazione prima di farle qualsiasi cambiamenti. I cambiamenti errati alla registrazione possono provocare la perdita permanente di dati o lime corrotte. Modifichi le chiavi specificate soltanto. Legga il documento, "come fare un sostegno della registrazione di Windows," per le istruzioni.
Scatti L'Inizio > Funzionato.
Scriva il regedit a macchina
Allora scattisi BENE.
Traversi alle chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nella lastra di vetro di destra, cancelli i valori (se presente):
"Reactor8" = "%System%\[randomname]32.exe"
"Reactor9" = "%System%\[randomname]32.exe"
Traversi a e cancelli le seguenti chiavi di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
Rimuova il redattore di registrazione.