諾瓦(Novarg)病蟲已在蔓延中，請儘速檢查防範

JOVI · 2004-01-31, 02:11 PM

諾瓦(Novarg)病蟲已在蔓延中，請儘速檢查防範

壹. 摘要：

諾瓦(Novarg)病毒又稱過期病毒(Mimail-R)會偽以各種技術性的主旨及附件名稱，透過電子郵件四處散佈。當附件檔開啟時病蟲即被啟動，並搜尋中毒電腦的硬碟，以取得更多電子郵件地址，繼續向外傳佈。同時病毒也會在中毒的電腦上開啟後門，供駭客入侵。

貳. 影響系統：

Windows 98,Windows 95,Windows ME,Windows NT,Windows 2000,windows XP,2003

參. 檢查方法：
若您最近曾經收到信件主旨為下列其中一個：test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error。並且有開啟信件的附檔，則可能已遭受病毒感染。您可以直接下載並執行下列賽門鐵克的免費掃毒軟體進行自我檢查：

http://securityresponse.symantec.com...r/FxNovarg.exe

肆. 解決方法：
如果您的電腦受到此病蟲感染，可以依下列方式解決。
1.請下載賽門鐵克免費掃毒軟體：
http://securityresponse.symantec.com...r/FxNovarg.exe

2.將檔案儲存在方便的位置，例如您的下載資料夾或 Windows 桌面 (或者，如果方便，請儲存在未受感染的可移除式媒體上)。

3.關閉所有正在執行的程式。

4.斷開與網路的連接。

5.如果您的電腦執行的是 Windows Me 或 XP，請關閉「系統還原」。關閉方式請參閱：
Windows ME請參考下列連結：
http://service1.symantec.com/SUPPORT...20517101224932

Windows XP請參考下列連結：
http://service1.symantec.com/SUPPORT...20517102945932

6.在 FxNovarg.exe 檔上按兩下滑鼠，即可啟動移除工具。

7.按下「開始」啟動程序，並允許工具執行。

8.重新啟動電腦。

9.再次執行移除工具，確保系統已清除乾淨。

10.如果您執行的是 Windows Me/XP，請重新啟用「系統還原」。

伍. 參考資訊：

趨勢科技(中文):

http://www.trendmicro.com/vinfo/zh-t...WORM_MSBLAST.D

賽門鐵克(中文)：

http://securityresponse1.symantec.co...varg.a@mm.html

babayu · 2004-01-31, 02:13 PM

謝謝賽門鐵克 FxNovarg.exe 只到a 沒辦法對付變種 b

Symatec "W32.Novarg.A@mm - I-Worm.Mydoom.a"

也只限於Novarg.a 其它的蠕蟲木馬不行

k2hungss · 2004-01-31, 02:34 PM

只能對付 a
不能應付變種 b
那可要如何?!

tys0605 · 2004-01-31, 02:44 PM

感謝分享

戰神2001 · 2004-01-31, 02:54 PM

謝謝告知

2004-01-31, 03:26 PM

既然無法清除病毒
那就不要開那些怪怪電子郵件就好了!

leowang · 2004-01-31, 04:06 PM

感謝告知......
病毒讓人防不勝防唉~~~

2004-01-31, 05:34 PM

謝謝告知喔...

gi226 · 2004-01-31, 06:38 PM

Thanks a lot!

sislly2003 · 2004-01-31, 08:54 PM

感謝~~~

六翼黑帝斯 · 2006-02-05, 12:45 AM

測試中...
目前沒中毒...懶得更新@@-.-

psac · 2006-03-13, 07:05 AM

關於處理Worm.Welchia.e蠕蟲的方法

發帖請加標籤，謝謝合作！並在標題上說明文章內容
by：bbiverson

病毒別名：Worm.win32.Welchia.e[avp] 處理時間：2004-03-10 威脅等級：★★★
中文名稱：衝擊波剋星變種E 病毒檔案類型：蠕蟲影響系統：Windows 2000, Windows XP
病毒行為:
「衝擊波剋星」系例

編寫工具:
vc, upx壓縮

傳染條件:
該病毒只會對具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系統進行傳播。

發作條件:

系統修改:
A、檢查互斥體"WksPatch_Mutex.", 只允許一個實例執行.
B、自我複製到 %System%DriversSvchost.exe.
C、新增以下服務
服務名: WksPatch
服務程序: %System%DriversSvchost.exe
服務描述: 從以下三種字元串中組合:

1> System
Security
Remote
Routing
Performance
Network
License
Internet

2> Logging
Manager
Procedure
Accounts
Event

3> Provider
Sharing
Messaging
Client

D、移除名為"RpcPatch"的服務(這個服務是由衝擊波剋星系列新增的)

E、檢測以下病毒是否存在:
Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.B

F、如果存在以上病毒則有以下現象:
1>結束下列行程:
%System%intrenat.exe (Worm.Doomjuice)
%System%Regedit.exe (Worm.Doomjuice.B)
%System%Taskmon.exe (Worm.Mydoom.A)
%System%Explorer.exe (Worm.Mydoom.B)

2>移除和以上病毒有關的文件,如:
%System%shimgapi.dll (The .dll associated with Worm.Mydoom.A)
%System%ctfmon.dll (The .dll associated with Worm.Mydoom.B)
值得注意的是移除時上述病毒可能正在執行,所以這一步有時會失敗.

3>移除以下註冊表鍵值:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A)
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B)

4>恢復以下註冊表鍵值: (這些鍵值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll):

HKCR/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 = %Systemwebcheck.dll

5>恢復hosts文件(被Mydoom.A and .B修改)
#
#

127.0.0.1 localhost

G、產生隨機ip位址並向這些位址傳送溢位和漏洞攻擊, 其中包括:
DCOM RPC
WebDav
Workstation Service
Locator service
DCOM RPC

H、在隨機連接阜開啟一個http服務，可以使別的機器容易受到感染。

I、如果被感染操作系統為日文，則在IIS的虛擬目錄搜尋副檔名為
shtml
shtm
stm
cgi
php
html
htm
asp
並以box.jpg.html覆蓋搜尋到的文件內容。瀏覽效果如box.jpg所顯示。

J、如果受感染系統為中文，英文或者韓文則在微軟的windows昇級主頁下載漏洞修正檔，
download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
安裝修正檔完畢後會重新啟動電腦。
K、這個蠕蟲會自我移除，在執行120天後或者2004年6月1日以前。

2004-01-31, 02:11 PM	#1
JOVI 註冊會員榮譽勳章勳章總數2 UID - 4637 在線等級: 註冊日期: 2002-12-07 VIP期限: 2008-05 文章: 285 精華: 0 現金: 5633 金幣資產: 5933 金幣	諾瓦(Novarg)病蟲已在蔓延中，請儘速檢查防範諾瓦(Novarg)病蟲已在蔓延中，請儘速檢查防範壹. 摘要：諾瓦(Novarg)病毒又稱過期病毒(Mimail-R)會偽以各種技術性的主旨及附件名稱，透過電子郵件四處散佈。當附件檔開啟時病蟲即被啟動，並搜尋中毒電腦的硬碟，以取得更多電子郵件地址，繼續向外傳佈。同時病毒也會在中毒的電腦上開啟後門，供駭客入侵。貳. 影響系統： Windows 98,Windows 95,Windows ME,Windows NT,Windows 2000,windows XP,2003 參. 檢查方法：若您最近曾經收到信件主旨為下列其中一個：test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error。並且有開啟信件的附檔，則可能已遭受病毒感染。您可以直接下載並執行下列賽門鐵克的免費掃毒軟體進行自我檢查： http://securityresponse.symantec.com...r/FxNovarg.exe 肆. 解決方法：如果您的電腦受到此病蟲感染，可以依下列方式解決。 1.請下載賽門鐵克免費掃毒軟體： http://securityresponse.symantec.com...r/FxNovarg.exe 2.將檔案儲存在方便的位置，例如您的下載資料夾或 Windows 桌面 (或者，如果方便，請儲存在未受感染的可移除式媒體上)。 3.關閉所有正在執行的程式。 4.斷開與網路的連接。 5.如果您的電腦執行的是 Windows Me 或 XP，請關閉「系統還原」。關閉方式請參閱： Windows ME請參考下列連結： http://service1.symantec.com/SUPPORT...20517101224932 Windows XP請參考下列連結： http://service1.symantec.com/SUPPORT...20517102945932 6.在 FxNovarg.exe 檔上按兩下滑鼠，即可啟動移除工具。 7.按下「開始」啟動程序，並允許工具執行。 8.重新啟動電腦。 9.再次執行移除工具，確保系統已清除乾淨。 10.如果您執行的是 Windows Me/XP，請重新啟用「系統還原」。伍. 參考資訊：趨勢科技(中文): http://www.trendmicro.com/vinfo/zh-t...WORM_MSBLAST.D 賽門鐵克(中文)： http://securityresponse1.symantec.co...varg.a@mm.html

	送花文章: 180, 收花文章: 13 篇, 收花: 84 次

2004-01-31, 02:13 PM	#2 (permalink)
babayu 註冊會員榮譽勳章勳章總數1 UID - 10509 在線等級: 註冊日期: 2002-12-12 VIP期限: 2010-06 住址: 天堂文章: 252 精華: 0 現金: 6621 金幣資產: 11621 金幣	謝謝賽門鐵克 FxNovarg.exe 只到a 沒辦法對付變種 b Symatec "W32.Novarg.A@mm - I-Worm.Mydoom.a" 也只限於Novarg.a 其它的蠕蟲木馬不行

	送花文章: 0, 收花文章: 2 篇, 收花: 2 次

2004-01-31, 02:34 PM	#3 (permalink)
k2hungss 長老會員榮譽勳章勳章總數14 UID - 9489 在線等級: 註冊日期: 2002-12-11 住址: 高雄文章: 13429 精華: 0 現金: 1669094 金幣資產: 1838923 金幣	只能對付 a 不能應付變種 b 那可要如何?!

	送花文章: 5067, 收花文章: 1120 篇, 收花: 1465 次

2004-01-31, 02:44 PM	#4 (permalink)
tys0605 註冊會員榮譽勳章勳章總數2 UID - 6853 在線等級: 註冊日期: 2002-12-08 VIP期限: 2009-04 文章: 109 精華: 0 現金: 6259 金幣資產: 11259 金幣	感謝分享

	送花文章: 1, 收花文章: 0 篇, 收花: 0 次

2004-01-31, 02:54 PM	#5 (permalink)
戰神2001 註冊會員榮譽勳章勳章總數2 UID - 44632 在線等級: 註冊日期: 2003-03-03 住址: 宇宙太陽系地球台灣之台北某一處文章: 1019 精華: 0 現金: 18 金幣資產: 25400 金幣	謝謝告知

	送花文章: 264, 收花文章: 173 篇, 收花: 734 次

2004-01-31, 03:26 PM	#6 (permalink)
路人榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:	既然無法清除病毒那就不要開那些怪怪電子郵件就好了!
路人榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:
	送花文章: 0, 收花文章: 0 篇, 收花: 0 次

2004-01-31, 04:06 PM	#7 (permalink)
leowang 長老會員榮譽勳章勳章總數14 UID - 2461 在線等級: 註冊日期: 2002-12-06 文章: 4729 精華: 0 現金: 101679 金幣資產: 668410953 金幣	感謝告知...... 病毒讓人防不勝防唉~~~
	__________________ 金錢的數量，決定馬子的漂亮硬碟的容量，決定男人的力量製作Mail Logo按這裡
	送花文章: 257, 收花文章: 1161 篇, 收花: 4928 次

2004-01-31, 05:34 PM	#8 (permalink)
kokid 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:	謝謝告知喔...
kokid 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:
	送花文章: 0, 收花文章: 0 篇, 收花: 0 次

2004-01-31, 06:38 PM	#9 (permalink)
gi226 長老會員榮譽勳章勳章總數2 UID - 24260 在線等級: 註冊日期: 2003-01-10 文章: 163 精華: 0 現金: 15703 金幣資產: 20703 金幣	Thanks a lot!

	送花文章: 0, 收花文章: 6 篇, 收花: 8 次

2004-01-31, 08:54 PM	#10 (permalink)
sislly2003 註冊會員榮譽勳章勳章總數4 UID - 18700 在線等級: 註冊日期: 2002-12-28 VIP期限: 2008-06 住址: 台中市文章: 769 精華: 0 現金: 7311 金幣資產: 7481 金幣	感謝~~~

	送花文章: 748, 收花文章: 248 篇, 收花: 999 次

2006-02-05, 12:45 AM	#11 (permalink)
六翼黑帝斯註冊會員榮譽勳章勳章總數 UID - 216546 在線等級: 註冊日期: 2005-12-02 VIP期限: 2007-03 住址: 真實的內心文章: 746 精華: 0 現金: 799 金幣資產: 799 金幣	測試中... 目前沒中毒...懶得更新@@-.-

	送花文章: 3, 收花文章: 5 篇, 收花: 8 次

2006-03-13, 07:05 AM	#12 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	關於處理Worm.Welchia.e蠕蟲的方法發帖請加標籤，謝謝合作！並在標題上說明文章內容 by：bbiverson 病毒別名：Worm.win32.Welchia.e[avp] 處理時間：2004-03-10 威脅等級：★★★ 中文名稱：衝擊波剋星變種E 病毒檔案類型：蠕蟲影響系統：Windows 2000, Windows XP 病毒行為: 「衝擊波剋星」系例編寫工具: vc, upx壓縮傳染條件: 該病毒只會對具有RPC漏洞、WebDAV 漏洞、IIS5/WEBDAV漏洞和Locator service 漏洞的WINDOWS系統進行傳播。發作條件: 系統修改: A、檢查互斥體"WksPatch_Mutex.", 只允許一個實例執行. B、自我複製到 %System%DriversSvchost.exe. C、新增以下服務服務名: WksPatch 服務程序: %System%DriversSvchost.exe 服務描述: 從以下三種字元串中組合: 1> System Security Remote Routing Performance Network License Internet 2> Logging Manager Procedure Accounts Event 3> Provider Sharing Messaging Client D、移除名為"RpcPatch"的服務(這個服務是由衝擊波剋星系列新增的) E、檢測以下病毒是否存在: Worm.Mydoom.A, Worm.Mydoom.B, Worm.Doomjuice, and Worm.Doomjuice.B F、如果存在以上病毒則有以下現象: 1>結束下列行程: %System%intrenat.exe (Worm.Doomjuice) %System%Regedit.exe (Worm.Doomjuice.B) %System%Taskmon.exe (Worm.Mydoom.A) %System%Explorer.exe (Worm.Mydoom.B) 2>移除和以上病毒有關的文件,如: %System%shimgapi.dll (The .dll associated with Worm.Mydoom.A) %System%ctfmon.dll (The .dll associated with Worm.Mydoom.B) 值得注意的是移除時上述病毒可能正在執行,所以這一步有時會失敗. 3>移除以下註冊表鍵值: HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin (Worm.Doomjuice) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck (Worm.Doomjuice.B) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A) HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Taskmon (Worm.Mydoom.A) HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B) HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Explorer (Worm.Mydoom.B) 4>恢復以下註冊表鍵值: (這些鍵值被 Worm.Mydoom.a and Worm.Mydoom.B 病毒修改指向自己的dll): HKCR/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 = %Systemwebcheck.dll 5>恢復hosts文件(被Mydoom.A and .B修改) # # 127.0.0.1 localhost G、產生隨機ip位址並向這些位址傳送溢位和漏洞攻擊, 其中包括: DCOM RPC WebDav Workstation Service Locator service DCOM RPC H、在隨機連接阜開啟一個http服務，可以使別的機器容易受到感染。 I、如果被感染操作系統為日文，則在IIS的虛擬目錄搜尋副檔名為 shtml shtm stm cgi php html htm asp 並以box.jpg.html覆蓋搜尋到的文件內容。瀏覽效果如box.jpg所顯示。 J、如果受感染系統為中文，英文或者韓文則在微軟的windows昇級主頁下載漏洞修正檔， download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a /WindowsXP-KB828035-x86-CHS.exe download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59 /WindowsXP-KB828035-x86-KOR.exe download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a /WindowsXP-KB828035-x86-ENU.exe download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c /Windows2000-KB828749-x86-CHS.exe download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513 /Windows2000-KB828749-x86-KOR.exe download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9 /Windows2000-KB828749-x86-ENU.exe 安裝修正檔完畢後會重新啟動電腦。 K、這個蠕蟲會自我移除，在執行120天後或者2004年6月1日以前。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告