Virussen | Spyware
Bofra
Met behulp van deze websites kunt u het Bofra virus verwijderen:
verwijderen Bofra virus
Het W32.Bofra.E@mm virus, voert de volgende acties uit:Creëert het volgende dossier %System%\[randomname]32.exe, gebruikend willekeurige lagere gevalbrieven als dossiernaam.
Nota: %System% is een variabele die naar de omslag van het Systeem verwijst. Door gebrek is dit C:\Windows\System (Vensters 95/98/Me), C:\Winnt\System32 (Vensters NT/2000), of C:\Windows\System32 (Vensters XP).
Voegt de waarde toe:
"Reactor9" = "%System%\[randomname]32.exe"
aan één van de volgende registratiesleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
zodat het wordt uitgevoerd telkens als de Vensters begint.
Creëert één van de volgende registratieingangen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version
Schrapt de volgende waarden:
"centrum"
"reactor"
"Rinoceros"
"Reactor3"
"Reactor4"
"Reactor5"
"Reactor6"
"Reactor7"
"Reactor8"
van de registratiesleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Pogingen om zijn code als draad in de processen met een naam van de vensterklasse van "Shell_TrayWnd" of in het proces in te spuiten dat in de voorgrond loopt.
Als succesvol, zal deze worm binnen het besmette proces blijven lopen.
Alle acties die in de volgende stap worden beschreven schijnen om door het besmette proces worden gedaan, en de worm zal niet wanneer het bekijken van de proceslijst in de Manager van de Taak van Vensters tonen. Als niet succesvol, zal de worm als zijn eigen proces blijven lopen.
Loopt als server van HTTP op haven 1639 van TCP.
Wanneer wom een HTTP krijgt KRIJG verzoek dat "geen reactor bevat," het verzendt een shell code naar de verre machine, die de kwetsbaarheid bevat IFRAME (zoals beschreven in Bugtraq identiteitskaart 11515). De verre machine zal de shell code in werking stellen om een HTTP te verzenden KRIJGT verzoek dat "reactor" in het bevel bevat.
Wanneer de worm een HTTP krijgt KRIJG verzoek dat "reactor bevat," het verzendt zich naar de verre machine. De shell code die op de verre machine loopt voert dan de worm uit.
Nota: De worm kan andere havens van TCP naast 1639 gebruiken.
Pogingen om met de volgende servers IRC op haven 6667 te verbinden van TCP:
qis.md.us.dal.net
ced.dal.net
viking.dal.net
vancouver.dal.net
ozbytes.dal.net
broadway.ny.us.dal.net
coins.dal.net
lulea.se.eu.undernet.org
diemen.nl.eu.undernet.org
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
Verzamelt de e-mailadressen van het het adresboek van Vensters en van de dossiers met de volgende uitbreidingen:
txt
htmb
shtl
phpq
aspd
dbxn
tbbg
adbh
pl
wab
Vermijdt verzendend naar e-mail adressen die aan de volgende criteria voldoen:
Bevat om het even welk van de volgende koorden in het ontvankelijke domein:
Berkeley
Unix
math
BSD
mit.e
GNU
fsf.
ibm.com
pit
linux
fido
Usenet
iana
ietf
rfc-ED
sendmail
arin.
rijp.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
voorbeeld
mydomai
nodomai
ruslis
gov
regering.
mil
foo.
Adressen de waarvan namen met één van het volgende beginnen:
wortel
info
steekproeven
postbeambte
webmaster
noone
niemand
niets
iedereen
iemand
uw
u
me
insecten
classificatie
plaats
contact
zacht
nr
somebody
privacy
de dienst
hulp
niet
leg voor
feste
ca
gouden-certs-gouden
the.bat
pagina
spm
misbruik
www
secur
Adressen de waarvan namen één van het volgende bevatten:
admin
icrosoft
steun
ntivi
Unix
BSD
linux
listserv
certific
accoun
spam
Gebruikt zijn eigen motor SMTP om naar de e-mailadressen te verzenden die het vindt.
E-mail heeft de volgende kenmerken:
Van: (spoofed)
Onderwerp: (Één van het volgende)
Hallo!
hey!
< spatie >
Bevestiging
De tekst van het bericht:
Header:(One van het volgende)
X-AntiVirus: afgetast voor virussen door AMaViS 0,2,1 (HTTP:// amavis.org/)
X-AntiVirus: Gecontroleerd door Dr. Web (HTTP:// www.drweb.net)
X-AntiVirus: Gecontroleerd virussen door de Software van AntiVirus van Gordano
Lichaam:(One van het volgende)
Hallo! Ik zoek nieuwe vrienden.
Mijn naam is Jane, ben ik van Miami, FL.
Zie mijn homepage met mijn weblog en laatste webcam
foto's!
Zie u!
Hallo! Ik zoek nieuwe vrienden. Ik ben van Miami, FL. U kunt
zie mijn homepage met mijn laatste webcamfoto's!
Gelukwensen! PayPal heeft met succes $175 aan uw krediet aangerekend
kaart. Uw orde het volgen aantal is A866DEC0, en uw punt zal zijn
verscheept binnen drie bedrijfsdagen.
Om te zien gelieve te klikken de details deze verbinding
ANTWOORD NIET OP DIT BERICHT VIA E-MAIL! Deze e-mail wordt langs verzonden
een geautomatiseerd berichtsysteem en het antwoord zullen niet ontvangen worden.
Dank u voor het gebruiken PayPal.
waar de "homepage" of de "verbinding" een hyperlink zijn die terug naar een verre machine verbindt waarvan e-mail werd verzonden. Bijvoorbeeld, de hyperlink kan http://
De post kan één van het volgende ook bevatten:
X-AntiVirus: afgetast voor virussen door AMaViS 0,2,1 (http://amavis.org/)
X-AntiVirus: Gecontroleerd virussen door de Software van AntiVirus van Gordano
X-AntiVirus: Gecontroleerd door Dr. Web (http://www.drweb.net)
De worm eindigt, indien uitgevoerd op of na 16 December, 2004.
De Reactie van de Veiligheid van Symantec moedigt alle gebruikers en beheerders aan om de volgende basisveiligheid "beste praktijken" aan te hangen:
De draai weg en verwijdert de onnodige diensten. Door gebrek, installeren vele werkende systemen de hulpdiensten die niet kritiek, zoals een server van FTP, Telnet, en een server van het Web zijn. Deze diensten zijn wegen van aanval. Als zij worden verwijderd, hebben de gemengde bedreigingen minder wegen van aanval en u minder diensten hebben door flardupdates te handhaven.
Als een gemengde bedreiging één of meerdere netwerkdiensten exploiteert, maak, of blokkeer toegang tot onbruikbaar, die diensten tot een flard wordt toegepast.
Houd altijd uw flardniveaus, vooral op computers bijgewerkt die openbare diensten ontvangen en toegankelijk door de firewall, zoals HTTP, FTP, post, en DNS de diensten zijn (bijvoorbeeld, zouden alle Op Windows gebaseerde computers het huidige geïnstalleerde Pak van de Dienst moeten hebben). Bovendien, te passen gelieve om het even welke veiligheidsupdates toe die in dit verslag, in de vertrouwde op Bulletins van de Veiligheid, of op verkopersWebsites worden vermeld.
Dwing een wachtwoordbeleid af. De complexe wachtwoorden maken het moeilijk om wachtwoorddossiers op gecompromitteerde computers te barsten. Dit helpt om schade te verhinderen of te beperken wanneer een computer wordt gecompromitteerd.
Vorm uw e-mailserver om e-mail te blokkeren of te verwijderen die dossiergehechtheid bevat die algemeen wordt gebruikt om virussen, zoals vbs, bat, exe, pif en scr dossiers uit te spreiden.
Isoleer snel besmette computers om verder het compromitteren van uw organisatie te verhinderen. Voer een gerechtelijke analyse uit en herstel de computers gebruikend vertrouwde op media.
Leid werknemers op om gehechtheid niet te openen tenzij zij hen verwachten. Ook, voer geen software uit die van Internet wordt gedownload tenzij het voor virussen is afgetast. Eenvoudig kan het bezoeken van een gecompromitteerde Website besmetting veroorzaken als bepaalde browser kwetsbaarheid niet hersteld is.
De volgende instructies behoort tot alle huidige en recente antivirus Symantec producten, met inbegrip van Symantec AntiVirus en het productlijnen van Norton AntiVirus.
Maak Systeem onbruikbaar herstellen (Vensters me/XP).
Werk de virusdefinities bij.
Stel een volledig systeemaftasten in werking en schrap alle dossiers die als W32.Bofra.E. worden ontdekt
Schrap de waarde die aan de registratie werd toegevoegd.
Voor specifieke details op elk van deze stappen, lees de volgende instructies.
1. Om Systeem onbruikbaar te maken herstel (Vensters me/XP)
Als u Vensters me of Vensters XP in werking stelt, adviseren wij dat u Systeem herstelt tijdelijk uitzet. De vensters me/XP gebruikt deze eigenschap, die door gebrek wordt toegelaten, om de dossiers op uw computer te herstellen voor het geval dat zij beschadigd worden. Als een virus, worm, of Trojan een computer besmet, herstelt het Systeem kan het virus, worm steunen, of Trojan op de computer.
De vensters verhindert buitenprogramma's, met inbegrip van antivirus programma's, van het wijzigen van Systeem herstel. Daarom antivirus kunnen de programma's of de hulpmiddelen bedreigingen in het Systeem verwijderen niet herstellen omslag. Dientengevolge, herstelt het Systeem heeft het potentieel van het herstellen van een besmet dossier op uw computer, zelfs nadat u de besmette dossiers van alle andere plaatsen hebt schoongemaakt.
Ook, kan een virusaftasten ontdekken een bedreiging in het Systeem omslag herstelt alhoewel u de bedreiging hebt verwijderd.
Voor instructies op hoe te om Systeem uit te zetten herstel, lees uw documentatie van Vensters, of één van de volgende artikelen:
"Om Vensters onbruikbaar te maken of toe te laten herstel me Systeem"
"Om het Systeem van Vensters uit te zetten of aan te zetten XP herstel"
Nota: Wanneer u volledig beëindigd met de verwijderingsprocedure bent en beëindigd dat de bedreiging is verwijderd, re-laat Systeem toe herstellen door de instructies in de voornoemde documenten te volgen.
Voor extra informatie, en een alternatief voor het onbruikbaar maken Vensters me Systeem herstel, zie het Microsoft Artikel van de Kennisbank, de "Antivirus Hulpmiddelen kunnen Besmette Dossiers in _ schoonmaken niet herstellen Omslag," Artikel identiteitskaart: Q263455.
2. Om de virusdefinities bij te werken
De Reactie van de Veiligheid van Symantec test volledig alle virusdefinities voor kwaliteitsverzekering alvorens zij aan onze servers worden gepost. Er zijn twee manieren om de meest recente virusdefinities te verkrijgen:
Het lopen LiveUpdate, die de gemakkelijkste manier is om virusdefinities te verkrijgen: Deze virusdefinities worden gepost aan de servers LiveUpdate eens elke week (gewoonlijk op Woensdagen), tenzij er een belangrijke virusuitbarsting is. Om te bepalen of de definities voor deze bedreiging door LiveUpdate beschikbaar zijn, verwijs naar de Definities van het Virus (LiveUpdate).
Het downloaden van de definities die Intelligente Updater gebruiken: De Intelligente Updater virusdefinities worden dagelijks gepost. U zou de definities van de website van de Reactie van de Veiligheid moeten downloaden Symantec En manueel hen installeren. Om te bepalen of de definities voor deze bedreiging door Intelligente Updater beschikbaar zijn, verwijs naar de Definities van het Virus (Intelligente Updater).
De Intelligente Updater virusdefinities zijn beschikbaar: Lees "hoe te om de dossiers van de virusdefinitie bij te werken gebruikend Intelligente Updater" voor gedetailleerde instructies.
3. Om af te tasten voor en de besmette dossiers te schrappen
Begin uw antivirus Symantec programma en zorg ervoor dat het wordt gevormd om alle dossiers af te tasten.
Voor de verbruiksgoederen van Norton AntiVirus: Lees het document, "hoe te om Norton AntiVirus te vormen om alle dossiers af te tasten."
Voor de producten van de Onderneming van Symantec AntiVirus: Lees het document, "hoe te om te verifiëren dat een Symantec het Collectieve antivirus product wordt geplaatst om alle dossiers af te tasten."
Stel een volledig systeemaftasten in werking.
Als om het even welke dossiers zoals besmet met W32.Bofra.E@mm worden ontdekt, klik Schrapping.
Nota: Als uw antivirus Symantec product rapporteert dat het een besmet dossier niet kan schrappen, kunnen de Vensters het dossier gebruiken. Om dit te bevestigen, stel het aftasten op Veilige wijze in werking. Voor instructies, las het document, "hoe te om de computer op Veilige Wijze te beginnen." Zodra u op Veilige wijze opnieuw bent begonnen, stel opnieuw het aftasten in werking.
(Nadat de dossiers worden geschrapt, kunt u de computer op Veilige wijze verlaten en met sectie 4 te werk gaan. Wanneer dat wordt gedaan, begin de computer op Normale wijze opnieuw.)
4. Om de waarde van de registratie te schrappen
Belangrijk: Symantec adviseert sterk dat u de registratie alvorens om het even welke veranderingen in het steunt aan te brengen. De onjuiste veranderingen in de registratie kunnen in permanent gegevensverlies of bedorven dossiers resulteren. Wijzig de gespecificeerde slechts sleutels. Lees het document, "hoe te om een steun van de registratie van Vensters," voor instructies te maken.
Klik Begin > Gelopen.
Typ regedit
Dan klik O.K..
Navigeer aan de sleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In de juiste ruit, schrap de waarde:
"Reactor9" = "%System%\[randomname]32.exe"
Navigeer aan en schrap de volgende registratiesleutels:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComExplore\Version