Virus | Spyware
Mugly.A
Con questi Web site potete rimuovere il virus di Mugly.A:
rimuova Mugly.A virus
W32.Mugly.A@mm è una vite senza fine che utilizza il relativo proprio motore dello smtp per spargersi trasmettendosi mentre un collegamento del email agli indirizzi del email ha riunito dal calcolatore infettato. Inoltre cade e fa funzionare una variante di W32.Spybot.Worm e può tentare di aprire un backdoor sul calcolatore infettato.Quando W32.Mugly.A@mm è eseguito, realizza le seguenti azioni:
Copie in se come %System%\xxz.tmp.
Nota: %System% è una variabile che si riferisce al dispositivo di piegatura del sistema. Per difetto, questo è C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows.xp).
Genera le seguenti lime:
%System% \ attached.zip (copia chiusa con chiusura a lampo della vite senza fine)
%System% \ winit.exe (attributi sono regolati a read_only, nascosto e sistema. Ciò è una variante di W32.Spybot.Worm.)
%System% \ uglym.jpg
%System% \ ANSMTP.DLL (motore valido del email di Activex)
%System% \ bszip.dll (motore valido dell'archivio)
%System% \ SVKP.sys (non virale)
Apre una finestra di browser per visualizzare la lima uglym.jpg.
Ricerche degli indirizzi del email nelle lime con le seguenti estensioni:
wab
adb
tbb
dbx
asp
php
htm
html
sht
txt
doc
Evita gli indirizzi che contengono c'è ne di seguenti stringhe:
adaware
nod32
trendmicro
avguk
grisoft
pandasoftware
sophos
gov
symantec
lavasoft
mcafee
kaspersky
Si trasmette agli indirizzi del email trovati sul calcolatore, per mezzo del relativo proprio motore dello smtp (contenuto nella lima ANSMTP.DLL).
Genera le seguenti entrate di registrazione:
HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}
per registrare il relativo proprio motore dello smtp (contenuto nella lima ANSMTP.DLL).
Si trasmette come un collegamento del email agli indirizzi ha trovato sul calcolatore infettato, per mezzo del relativo proprio motore dello smtp. Il email ha le seguenti caratteristiche:
Da: (Spoofed)
Oggetto: (uno di quanto segue)
Lol di Hhahahah!!!!
Il Vostro Pic Su un Web site!!
Valuti Il Mio Pic.......
Avete un ammiratore
Corpo di messaggio: (uno di quanto segue)
ho trovato questo sul mio calcolatore dalle età fa
trasferiscalo dal sistema centrale verso i satelliti e veda se potete ricordarseli
il lol i lauging come pazzo quando lo ho visto! :D
email me indietro haha...
Stavo guardando un Web site e sono venuto attraverso
questo pic sembrano giusti come voi! infact im sicuro
è someonce:S altro? Ive ha aggiunto il pic in
una chiusura lampo in modo da lo trasferisce dal sistema centrale verso i satelliti e controlla & email me indietro!
Hi il ive ora ha trasmesso 5 email e nessuno valuterà
il mio pic!! : ( prego trasferisca e dicami che cosa dal sistema centrale verso i satelliti voi
pensi su 10, non si preoccupi se non lo gradite
opinione giusta non sarò p.s che offensivo sia bevuto quando
è stato preso:P
Qualcuno ci ha chiesto là a favore di trasmettere
questo email e vi dite pensino che siate
wonderfull!!! Tutti i particolari delle persone di mistero
avete bisogno di siete acclusi nel collegamento:)
prego trasferisca e risponda dicendoci se voi
vorrebbe stabilire ulteriore contatto con questo
persona.
Posta Admin Dell'Ammiratore Dell'Marchio di garanzia Di Riguardi.
Il corpo di messaggio può anche includere quanto segue:
_____
Il email corrente è stato trasmesso da un'autorizzazione di valutazione.
Nota: Questo footer sarà rimosso con la versione autorizzata
Collegamento: attachment.zip
Dove attachment.zip contiene una di seguenti lime:
Pic_001.exe
Photo_01.pif
admire_001.exe
is_this_you.scr
love_04.scr
for_you.pif
Scan_04.scr
Sexy_09.scr
Cade ed esegue la lima winit.exe, che è una variante di W32.Spybot.Worm. Quando winit.exe è eseguito, effettua le operazione seguenti.
Aggiunge il valore:
"virtual"="winit.exe"
alle seguenti chiavi di registrazione:
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
in modo che la vite senza fine funzioni quando Windows comincia.
Aggiunge il valore:
"EnableDCOM"="N"
alla chiave di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
per inabilitare DCOM.
Genera la seguente entrata di registrazione:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
per generare un servizio e la chiave corrispondente:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP
Apre un backdoor collegando a windowss.serveftp.com ed unendo una scanalatura specifica. Ascolta gli ordini da un attacker a distanza.
Copie in se alle seguenti parti della rete, che sono protette con le parole d'accesso deboli:
ADMIN$
IP
D$
Tentativo di maggio di spargersi sfruttando le seguenti vulnerabilità:
Vulnerabilità di sovraccarico dell'amplificatore di servizio della stazione di lavoro (descritta nel bollettino MS03-049 di sicurezza del Microsoft) che usando l'orificio 445 di TCP. Gli utenti di Windows.xp sono protetti da questa vulnerabilità se il bollettino MS03-043 di sicurezza del Microsoft è stato applicato. Windows 2000 utenti deve applicare MS03-049.
Vulnerabilità del RPC di DCOM (descritta nel bollettino MS03-026 di sicurezza del Microsoft) che usando l'orificio 135 di TCP.
Vulnerabilità nell'assistente 2000 del Microsoft SQL o nella verifica di MSDE 2000 (descritta nel bollettino MS02-061 di sicurezza del Microsoft) che usando l'orificio 1434 del UDP.
Sfrutta il trabocco a distanza dell'amplificatore di sicurezza di Microsoft Windows di servizio locale di autorità (descritto nel bollettino MS04-011 di sicurezza del Microsoft).
La risposta di sicurezza di Symantec consiglia a tutti gli utenti e coordinatori aderirsi alla seguente sicurezza di base "pratiche migliori":
Spenga e rimuova i servizi non necessari. Per difetto, molti sistemi operativi installano i servizi ausiliarii che non sono critici, quale un ftp server, telnet e un web server. Questi servizi sono viali dell'attacco. Se sono rimossi, le minacce mescolate hanno meno viali dell'attacco ed avete pochi servizi da effettuare attraverso gli aggiornamenti della zona.
Se una minaccia mescolata sfrutta uno o più servizi di rete, inabiliti, o ostruisca l'accesso a, quei servizi fino ad applicare una zona.
Sempre mantenga i vostri livelli della zona aggiornati, particolarmente sui calcolatori che ospitano i servizi pubblici e sono accessibili attraverso la parete refrattaria, quali il HTTP, il ftp, la posta ed i servizi di DNS (per esempio, tutti i calcolatori windows-based dovrebbero avere il pacchetto corrente di servizio installato). Ulteriormente, applichi prego tutti gli aggiornamenti di sicurezza che sono accennati in questo articolo, nei bollettini di fiducia di sicurezza, o sui luoghi di fotoricettore del fornitore.
Faccia rispettare una politica di parola d'accesso. Le parole d'accesso complesse lo rendono difficile spezzare le lime di parola d'accesso sui calcolatori compromessi. Ciò contribuisce ad impedire o limitare danni quando un calcolatore si compromette.
Configuri il vostro assistente del email per ostruire o rimuovere il email che contiene i collegamenti della lima che sono utilizzati comunemente per spargere i virus, quali le lime dei vbs, del bat, del exe, del pif e del scr.
Isoli rapidamente i calcolatori infettati per evitare più ulteriormente il compromesso della vostra organizzazione. Effettui un'analisi legale e ristabilisca i calcolatori usando i mezzi di fiducia.
Addestri gli impiegati per non aprire i collegamenti a meno che stiano prevedendoli. Inoltre, non esegua il software che sia trasferito dal Internet a meno che sia stato esplorato per i virus. Semplicemente visitare un Web site compromesso può causare l'infezione se determinate vulnerabilità del browser non sono rattoppate.
Le seguenti istruzioni appartengono tutti i prodotti correnti e recenti di antivirus di Symantec, compreso serie di prodotti di Symantec AntiVirus e di Norton AntiVirus.
Inabiliti Il Restore Del Sistema (Windows Me/XP).
Aggiorni le definizioni del virus.
Faccia funzionare un'esplorazione completa del sistema e cancelli tutte le lime rilevate come W32.Mugly.A@mm.
Cancelli il valore che è stato aggiunto alla registrazione.
Cancelli le lime che la minaccia ha generato.
Per i particolari specifici su ciascuno di questi punti, legga le seguenti istruzioni.
1. Per inabilitare restore del sistema (Windows Me/XP)
Se state facendo funzionare Windows me o Windows.xp, suggeriamo che temporaneamente spegnete il restore del sistema. Windows Me/XP usa questa caratteristica, che è permessa per difetto, per ripristinare le lime sul vostro calcolatore nel caso sono danneggiate. Se un virus, una vite senza fine, o un Trojan infetta un calcolatore, il restore del sistema può sostenere il virus, la vite senza fine, o il Trojan sul calcolatore.
Windows impedisce i programmi esterni, compreso i programmi di antivirus, restore di modificazione del sistema. Di conseguenza, i programmi di antivirus o gli attrezzi non possono rimuovere le minacce nel dispositivo di piegatura di restore del sistema. Di conseguenza, il restore del sistema ha il potenziale di ripristino della lima infettata sul vostro calcolatore, anche dopo che avete liberato le lime infettate da tutte le altre posizioni.
Inoltre, un'esplorazione del virus può rilevare una minaccia nel dispositivo di piegatura di restore del sistema anche se avete rimosso la minaccia.
Per le istruzioni su come spegnere il restore del sistema, legga la vostra documentazione di Windows, o uno di seguenti articoli:
"come inabilitare o permettere Windows me restore del sistema"
"come spegnere o accendere restore del sistema di Windows.xp"
Nota: Quando completamente siete rifiniti con il metodo di rimozione e siete soddisfatti che la minaccia è stata rimossa, re-enable il restore del sistema tramite dopo le istruzioni nei documenti sopraccennati.
Per le informazioni supplementari e un'alternativa ad inabilitare Windows me restore del sistema, vedo l'articolo della base di conoscenza del Microsoft, "attrezzi di Antivirus non posso pulire le lime infettate _ nel dispositivo di piegatura di restore," identificazione dell'articolo: Q263455.
2. Per aggiornare le definizioni del virus
La risposta di sicurezza di Symantec completamente verifica tutte le definizioni del virus a garanzia della qualità prima che siano inviate ai nostri assistenti. Ci sono due sensi ottenere le definizioni del virus più recenti:
LiveUpdate funzionante, che è il senso più facile ottenere le definizioni del virus: Queste definizioni del virus sono inviate agli assistenti di LiveUpdate una volta che ogni settimana (solitamente al mercoledì), a meno che ci sia uno scoppio importante del virus. Per determinare se le definizioni per questa minaccia siano disponibili da LiveUpdate, riferiscasi alle definizioni del virus (LiveUpdate).
Trasferimento dal sistema centrale verso i satelliti delle definizioni dal sistema centrale verso i satelliti usando il Updater intelligente: Le definizioni intelligenti del virus di Updater sono inviate giornalmente. Dovreste trasferire le definizioni dal sistema centrale verso i satelliti dal Web site di risposta di sicurezza di Symantec ed installarli manualmente. Per determinare se le definizioni per questa minaccia siano disponibili dal Updater intelligente, riferiscasi alle definizioni del virus (Updater intelligente).
Le definizioni intelligenti del virus di Updater sono disponibili: Colto "come aggiornare la definizione del virus archivia usando il Updater intelligente" per le istruzioni dettagliate.
3. Per esplorare per e cancellare le lime infettate
Inizi il vostro programma di antivirus di Symantec ed assicurisi che è configurato per esaminare tutte le lime.
Per i prodotti di consumatore di Norton AntiVirus: Legga il documento, "come configurare Norton AntiVirus per esaminare tutte le lime."
Per i prodotti di impresa di Symantec AntiVirus: Legga il documento, "come verificare che un prodotto corporativo di antivirus di Symantec è regolato per esaminare tutte le lime."
Faccia funzionare un'esplorazione completa del sistema.
Se delle lime sono rilevate come infettate con W32.Mugly.A@mm, cancellazione di scatto.
Nota: Se il vostro prodotto di antivirus di Symantec segnala che non può cancellare una lima infettata, Windows può usare la lima. Per riparare questo, faccia funzionare l'esplorazione nel modo sicuro. Per le istruzioni, legga il documento, "come avviare il calcolatore nel modo sicuro." Una volta che avete ricominciato nel modo sicuro, faccia funzionare ancora l'esplorazione.
(dopo che le lime siano cancellate, potete lasciare il calcolatore nel modo sicuro e procedere alla parte 4. Quando quello è fatto, ricominci il calcolatore nel modo normale.)
4. Per cancellare il valore dalla registrazione
Importante: Symantec suggerisce vivamente che sostenete la registrazione prima di farle qualsiasi cambiamenti. I cambiamenti errati alla registrazione possono provocare la perdita permanente di dati o lime corrotte. Modifichi le chiavi specificate soltanto. Legga il documento, "come fare un sostegno della registrazione di Windows," per le istruzioni.
Scatti L'Inizio > Funzionato.
Scriva il regedit a macchina
Allora scattisi BENE.
Traversi alla chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nella lastra di vetro di destra, cancelli il valore:
"virtual"="winit.exe"
Traversi alla chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Nella lastra di vetro di destra, cancelli il valore:
"virtual"="winit.exe"
Traversi alla chiave:
HKEY_CURRENT_USER\Software\Microsoft\OLE
Nella lastra di vetro di destra, cancelli il valore:
"virtual"="winit.exe"
Traversi a e cancelli le seguenti chiavi di registrazione:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP
Se non state usando ANSMTP, traversi a e cancelli le seguenti entrate di registrazione:
HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}
Traversi a e ripristini la chiave di registrazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\"EnableDCOM"="N"
al valore:
"EnableDCOM" = "Y"
Rimuova il redattore di registrazione.
5. Per cancellare le lime che la minaccia ha generato
Traversi a e cancelli le seguenti lime:
%System% \ uglym.jpg
%System% \ ANSMTP.DLL (motore valido del email di Activex)
%System% \ bszip.dll (motore valido dell'archivio)
%System% \ SVKP.sys (non virale)