Virus | Spyware
Mugly.A
À l'aide de ces sites Web, vous pouvez écarter le virus Mugly.A:
écarter Mugly.A virus
w32.mugly.a@mmW32.Mugly.A@mm est un ver qui utilise son propre moteur de smtp pour écarter par l'envoi pendant qu'un attachement d'email aux adresses d'email recueillait à partir de l'ordinateur infecté. Il également laisse tomber et court une variante de W32.Spybot.Worm, et peut essayer d'ouvrir un secret sur l'ordinateur infecté.Quand W32.Mugly.A@mm est exécuté, il effectue les actions suivantes :
Copies elle-même comme %System%\xxz.tmp.
Note : %System% est une variable qui se rapporte à la chemise de système. Par défaut, c'est C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows.xp).
Crée les dossiers suivants :
%System% \ attached.zip (copie fermée la fermeture éclair de ver)
%System% \ winit.exe (des attributs sont placés à read_only, caché, et système. C'est une variante de W32.Spybot.Worm.)
%System% \ uglym.jpg
%System% \ ANSMTP.DLL (moteur valide d'email d'ActiveX)
%System% \ bszip.dll (moteur valide d'archives)
%System% \ SVKP.sys (non viral)
Ouvre une fenêtre de navigateur pour montrer le dossier uglym.jpg.
Recherches des adresses d'email dans les dossiers avec les prolongements suivants :
wab
adb
tbb
dbx
asp
php
htm
html
sht
txt
doc
Évite les adresses qui contiennent n'importe laquelle des cordes suivantes :
adaware
nod32
trendmicro
avguk
grisoft
pandasoftware
sophos
gov
symantec
lavasoft
mcafee
kaspersky
S'envoie aux adresses d'email trouvées sur l'ordinateur, à l'aide de son propre moteur de smtp (contenu dans le dossier ANSMTP.DLL).
Crée les entrées suivantes d'enregistrement :
HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}
pour enregistrer son propre moteur de smtp (contenu dans le dossier ANSMTP.DLL).
S'envoie comme un attachement d'email aux adresses a trouvé sur l'ordinateur infecté, à l'aide de son propre moteur de smtp. L'email a les caractéristiques suivantes :
De : (Charrié)
Objet: (un du suivant)
Lol de Hhahahah ! ! ! !
Votre Pic Sur Un Site Web ! !
Évaluez Mon Pic.......
Vous avez un admirateur
Corps de message : (un du suivant)
j'ai trouvé ceci sur mon ordinateur il y a des âges
téléchargez-l'et voyez si vous pouvez vous rappeler le
le lol i lauging comme fou quand je l'ai vu ! :D
email j'en arrière haha...
Je regardais un site Web et ai trouvé par hasard
ce pic ils semblent justes comme vous ! infact im sûr
est-ce le someonce :S d'autre ? Ive a ajouté le pic dans
une fermeture éclair ainsi le téléchargent et vérifient et email j'en arrière !
Bonjour l'ive envoyé 5 email maintenant et personne évaluera
mon pic ! ! : ( téléchargez et veuillez dites-moi ce qui vous
pensez sur 10, ne vous inquiétez pas si vous ne l'aimez pas
parole juste je ne serai pas p.s offensé que j'étais ivre quand
il a été pris :P
Quelqu'un nous a demandé là au nom d'envoyer
vous cet email et vous dites ils pensent que vous êtes
wonderfull ! ! ! Tous les petits groupes de personnes de mystère
vous avez besoin êtes enfermé dans l'attachement :)
téléchargez et veuillez répondez en nous disant si vous
voudrait faire davantage de contact avec ceci
personne.
Courrier Admin D'Admirateur De Cachet De Respect.
Le corps de message peut également inclure ce qui suit :
_____
L'email courant a été envoyé par un permis d'évaluation.
Note : Ce titre de bas de page sera enlevé avec la version autorisée
Attachement : attachment.zip
Là où attachment.zip contient un des dossiers suivants :
Pic_001.exe
Photo_01.pif
admire_001.exe
is_this_you.scr
love_04.scr
for_you.pif
Scan_04.scr
Sexy_09.scr
Laisse tomber et exécute le dossier winit.exe, qui est une variante de W32.Spybot.Worm. Quand winit.exe est exécuté, il exécute les prochaines étapes.
Ajoute la valeur :
"virtual"="winit.exe"
aux clefs suivantes d'enregistrement :
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
de sorte que le ver fonctionne quand Windows commence.
Ajoute la valeur :
"EnableDCOM"="N"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE
pour neutraliser DCOM.
Crée l'entrée suivante d'enregistrement :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
pour créer un service, et la clef correspondante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP
Ouvre un secret en se reliant à windowss.serveftp.com et en joignant un canal spécifique. Écoute des commandes d'un attaquant à distance.
Copies elle-même aux parts suivantes de réseau, qui sont protégées avec des mots de passe faibles :
ADMIN$
IP
D$
Tentative de mai d'écarter en exploitant les vulnérabilités suivantes :
La vulnérabilité de dépassement d'amortisseur de service de poste de travail (décrite dans bulletin MS03-049 de sécurité de Microsoft) employant le port 445 de TCP. Des utilisateurs de Windows.xp sont protégés contre cette vulnérabilité si le bulletin MS03-043 de sécurité de Microsoft a été appliqué. Windows 2000 utilisateurs doit appliquer MS03-049.
La vulnérabilité de RPC de DCOM (décrite dans bulletin MS03-026 de sécurité de Microsoft) employant le port 135 de TCP.
Les vulnérabilités dans le serveur 2000 de Microsoft SQL ou l'audit de MSDE 2000 (décrit dans bulletin MS02-061 de sécurité de Microsoft) employant le port 1434 de UDP.
Exploite le débordement à distance d'amortisseur de sécurité de Microsoft Windows de service local d'autorité (décrit dans bulletin MS04-011 de sécurité de Microsoft).
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme W32.Mugly.A@mm.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Supprimez les dossiers que la menace a créés.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées quotidiennement. Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de W32.Mugly.A@mm, effacement de clic.
Note : Si votre produit d'antivirus de Symantec signale qu'il ne peut pas supprimer un dossier infecté, Windows peut employer le dossier. Pour fixer ceci, courez le balayage en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr." Une fois que vous vous êtes remis en marche en mode sûr, courez le balayage encore.
(après que les dossiers soient supprimés, vous pouvez laisser l'ordinateur dans le mode sûr et poursuivre la section 4. Quand cela est fait, remettez en marche l'ordinateur en "copie normale".)
4. Pour supprimer la valeur de l'enregistrement
Important : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
Cliquez Le Début > Couru.
Dactylographiez le regedit
Cliquez Alors BIEN.
Dirigez à la clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le carreau droit, supprimez la valeur :
"virtual"="winit.exe"
Dirigez à la clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Dans le carreau droit, supprimez la valeur :
"virtual"="winit.exe"
Dirigez à la clef :
HKEY_CURRENT_USER\Software\Microsoft\OLE
Dans le carreau droit, supprimez la valeur :
"virtual"="winit.exe"
Dirigez à et supprimez les clefs suivantes d'enregistrement :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP
Si vous n'employez pas ANSMTP, dirigez à et supprimez les entrées suivantes d'enregistrement :
HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}
Dirigez à et remettez à zéro la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE\"EnableDCOM"="N"
à la valeur :
"EnableDCOM" = "Y"
Sortez le rédacteur d'enregistrement.
5. Pour supprimer les dossiers que la menace a créés
Dirigez à et supprimez les dossiers suivants :
%System% \ uglym.jpg
%System% \ ANSMTP.DLL (moteur valide d'email d'ActiveX)
%System% \ bszip.dll (moteur valide d'archives)
%System% \ SVKP.sys (non viral)