Virus | Spyware
Bofra.E
À l'aide de ces sites Web, vous pouvez écarter le virus Bofra.E:
écarter Bofra.E virus
W32.Bofra.E@mm est un ver d'masse-expédition qui exploite la vulnérabilité à distance mal formée de débordement d'amortisseur de Microsoft Internet Explorer IFRAME (comme décrit dans identification 11515 de Bugtraq). Il écarte en envoyant les adresses d'email qu'il trouve sur un ordinateur infecté.En outre Connu En tant que: Win32.Bofra.H [ Associés D'Ordinateur ], I-Worm.Bofra.d [ Kaspersky ], W32/Mydoom.gen@MM [ McAfee ], W32/Bofra-D [ Sophos ], W32/Bofra-G [ Sophos ]
Quand W32.Bofra.E@mm fonctionne, il effectue les actions suivantes :
Crée le dossier suivant %System%\[randomname]32.exe, en utilisant les lettres minuscules aléatoires comme nom de fichier.
Note : %System% est une variable qui se rapporte à la chemise de système. Par défaut c'est C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows.xp).
Ajoute une des valeurs suivantes :
"Reactor8" = "%System%\[randomname]32.exe"
"Reactor9" = "%System%\[randomname]32.exe"
à une des clefs suivantes d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de sorte qu'il soit exécuté chaque fois Windows commence.
Crée une des entrées suivantes d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
Supprime les valeurs suivantes :
"centre"
"réacteur"
"Rhinocéros"
"Reactor3"
"Reactor4"
"Reactor5"
"Reactor6"
"Reactor7"
"Reactor8"
de la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tentatives d'injecter son code comme fil dans les processus avec un nom de classe de fenêtre de "Shell_TrayWnd" ou dans le processus fonctionnant dans le premier plan.
Si réussi, ce ver continuera à fonctionner dans le processus infecté.
Toutes les actions décrites dans la prochaine étape semblent être faites par le processus infecté, et le ver ne montrera pas quand regardant la liste de processus dans Windows Chargent le directeur. Si non réussi, le ver continuera à fonctionner en tant que son propre processus.
Les courses comme serveur de HTTP sur le TCP mettent en communication 1639.
Quand le wom obtient un HTTP OBTENEZ la demande qui ne contient pas le "réacteur," il envoie un code de coquille à la machine à distance, qui contient la vulnérabilité d'IFRAME (comme décrit dans identification 11515 de Bugtraq). La machine à distance courra le code de coquille pour envoyer un HTTP OBTIENNENT la demande qui contient le "réacteur" dans la commande.
Quand le ver obtient un HTTP OBTENEZ la demande qui contient le "réacteur," il s'envoie à la machine à distance. Le code de coquille fonctionnant sur la machine à distance exécute alors le ver.
Note: Le ver peut employer d'autres ports de TCP près de 1639.
Tentatives de se relier aux serveurs suivants d'IRC sur le port 6667 de TCP :
qis.md.us.dal.net
ced.dal.net
viking.dal.net
vancouver.dal.net
ozbytes.dal.net
broadway.ny.us.dal.net
coins.dal.net
lulea.se.eu.undernet.org
diemen.nl.eu.undernet.org
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
Recueille les adresses d'email du carnet d'adresses de Windows et à partir des dossiers avec les prolongements suivants :
txt
htmb
shtl
phpq
aspd
dbxn
tbbg
adbh
pl
wab
Évite d'envoyer aux adresses d'email qui rencontrent les critères suivants :
Contient n'importe laquelle des cordes suivantes dans le domaine réceptif :
Berkeley
unix
maths
schéma
mit.e
gnu
FSF.
ibm.com
grain
linux
fido
USENET
IANA
IETF
RFC-ED
sendmail
arin.
mûr.
isi.e
isc.o
secur
acketst
PGP
tanford.e
utgers.ed
mozilla
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
exemple
mydomai
nodomai
ruslis
gov
gouvernement.
mil
foo.
Adresse dont les noms commencent par un de ce qui suit :
racine
information
échantillons
maître de poste
webmaster
aucun
personne
rien
n'importe qui
quelqu'un
votre
vous
je
bogues
estimation
emplacement
contact
doux
non
quelqu'un
intimité
service
aide
pas
soumettez
feste
ca
or-certs
the.bat
page
spm
abus
WWW
secur
Adresse dont les noms contiennent un de ce qui suit :
admin
icrosoft
appui
ntivi
unix
schéma
linux
listserv
certific
accoun
Spam
Utilise son propre moteur de smtp pour s'envoyer aux adresses d'email qu'il trouve.
L'email a les caractéristiques suivantes :
De : (charrié)
Objet : (un du suivant)
Bonjour !
hé !
< blanc >
Confirmation
Texte de message :
En-tête:(One du suivant)
X-AntiVirus : balayé pour des virus par AMaViS 0.2.1 (http:/ /amavis.org/)
X-AntiVirus : Vérifié par Dr.Web (http:/ /www.drweb.net)
X-AntiVirus : Vérifié les virus par le logiciel d'AntiVirus de Gordano's
Corps:(One du suivant)
Bonjour ! Je recherche de nouveaux amis.
Mon nom est Jane, je suis de Miami, FL.
Voir le mon homepage avec mon weblog et dernier webcam
photos !
Voyez-vous !
Bonjour ! Je recherche de nouveaux amis. Je suis de Miami, FL. Vous pouvez
voir le mon homepage avec mes dernières photos de webcam !
Félicitations ! PayPal a avec succès chargé $175 à votre degré de solvabilité
carte. Votre nombre de cheminement d'ordre est A866DEC0, et votre article sera
transporté dans trois jours d'affaires.
Pour voir les détails sont agréable au clic ce lien
NE RÉPONDEZ PAS À CE MESSAGE PAR L'INTERMÉDIAIRE D'EMAIL ! Cet email est envoyé près
un système automatisé de message et la réponse ne seront pas reçus.
Merci pour l'usage PayPal.
là où l'"homepage" ou l'"lien" est un hyperlien ce des liens de nouveau à une machine à distance de laquelle l'email a été envoyé. Par exemple, l'hyperlien peut être IP address de http://
Le courrier peut également contenir un de ce qui suit :
X-AntiVirus : balayé pour des virus par AMaViS 0.2.1 (http://amavis.org/)
X-AntiVirus : Vérifié les virus par le logiciel d'AntiVirus de Gordano's
X-AntiVirus : Vérifié par Dr.Web (http://www.drweb.net)
Le ver se termine, si exécuté le ou après 16 décembre, 2004.
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme W32.Bofra.E@mm.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées quotidiennement. Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de W32.Bofra.E@mm, effacement de clic.
Note : Si votre produit d'antivirus de Symantec signale qu'il ne peut pas supprimer un dossier infecté, Windows peut employer le dossier. Pour fixer ceci, courez le balayage en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr." Une fois que vous vous êtes remis en marche en mode sûr, courez le balayage encore.
(après que les dossiers soient supprimés, vous pouvez laisser l'ordinateur dans le mode sûr et poursuivre la section 4. Quand cela est fait, remettez en marche l'ordinateur en "copie normale".)
4. Pour supprimer la valeur de l'enregistrement
Important : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
Cliquez Le Début > Couru.
Dactylographiez le regedit
Cliquez Alors BIEN.
Dirigez aux clefs :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le carreau droit, supprimez les valeurs (si présent) :
"Reactor8" = "%System%\[randomname]32.exe"
"Reactor9" = "%System%\[randomname]32.exe"
Dirigez à et supprimez les clefs suivantes d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
Explorer\ComExplore\Version
Sortez le rédacteur d'enregistrement.