[病毒警告]恶性蠕虫病毒W32.Novarg.A@mm

我好毒

恶性蠕虫病毒W32.Novarg.A@mm特征及防御

--------------------------------------------------------------------------------

http://www.sina.com.cn 2004年01月29日 08:59 新浪科技

　　新浪科技讯　全球领先的互联网安全技术与解决方案供应商赛门铁克公司(纳斯达克：SYMC)于1月26日率先发现了W32.Novarg.A@mm蠕虫病毒，由于提交量不断增加，赛门铁克安全响应中心将该病毒的威胁级提升到4级(其中5级为最严重)，并及时提供了解决方案。

　　主要信息：


　　W32.Novarg.A@mm是一个群发邮件蠕虫病毒，该蠕虫将自身以扩展名为.bat, .cmd, .exe,

　　.pif, .scr,或.zip.等附件形式发送至受感染用户，它可能阻塞邮件服务器或降低网络性能。当用户的机器受到感染，该蠕虫将在系统中设立一个后门，打开从3127至3198的TCP端口。这就使攻击者有机会连接到该计算机并利用它访问其网络资源。此外，该后门还可以下载并执行任意文件。该蠕虫将于2004年2月1日发起一个DoS攻击，并于2月12日停止传播。

　　W32.Novarg.A@mm的病毒特征如下：

　　　别名：W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]

　　　病毒类型：蠕虫

　　　感染长度：22,528字节

　　　受感染系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,

　　Windows Server 2003, Windows XP

　　　不会受感染系统：DOS,Linux, Macintosh, OS/2, UNIX, Windows 3.x

　　通过W32.Novarg.A@mm发送的电子邮件具有下列特征：

　　标题：(以下其中之一)

　　　test

　　　hi

　　　hello

　　　Mail Delivery System

　　　Mail Transaction Failed

　　　Server Report

　　　Status

　　　Error

　　消息：(以下其中之一)

　　　Mail transaction failed. Partial message is available.

　　　The message contains Unicode characters and has been sent as a binary attachment.

　　　The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

　　附件：(以下其中之一)

　　　document

　　　readme

　　　doc

　　　text

　　　file

　　　data

　　　test

　　　message

　　　body

　　赛门铁克建议用户通过LiveUpdate和智能更新技术自动下载病毒定义码，从而抵御病毒对网络的入侵。在此次病毒攻击事件中，许多赛门铁克产品的家庭用户并未受到攻击，这是由于赛门铁克防病毒解决方案先进的蠕虫病毒拦截技术，在即使在没有进行病毒定义码更新的情况下也能防止该病毒侵扰系统。

　　赛门铁克的专家还建议您从正规的网站上获取病毒定义码和解决方案。有关该蠕虫的清除工具和其他详细资料，请访问

　　securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

　　关于赛门铁克

　　作为世界互联网安全技术领导厂商，赛门铁克公司为个人、企业用户及服务提供商提供了一系列内容和网络安全解决方案。赛门铁克为全球企业用户及服务提供商提供客户端、网关及服务器安全解决方案，包括病毒防护、防火墙、风险管理、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务。赛门铁克诺顿品牌是个人安全产品市场全球零售市场的领导者，在行业中屡获奖项。赛门铁克公司成立于1982年，总部设在加里弗尼亚的Cupertino，现已在36个国家设有分支机构。

　　要了解更多相关信息，欢迎访问赛门铁克公司网站：www.symantec.com.cn





一大清早的我的电脑收到了几十封这个病毒的信，烦！

我好毒

W32.Novarg.A@mm 杀毒工具
发现时间： January 26, 2004
上次更新时间： January 30, 2004 10:08:16




赛门铁克安全响应中心开发了一种杀毒工具，可用来清除以下 W32.Novarg.A@mm 变种的感染。

此工具的功能
W32.Novarg.A@mm 杀毒工具具有下列功能：

终止 W32.Novarg.A@mm 病毒进程。
终止 Explorer.exe 下运行的有害线程。
删除 W32.Novarg.A@mm 文件。
删除蠕虫加入的注册键值。

此工具可用的命令行转换参数



Switch

Description

/HELP, /H, /?
显示帮助消息。

/NOFIXREG
禁用注册表修复。（建议不使用此转换参数。）

/SILENT, /S
启用静默模式。

/LOG=<path name>
创建日志文件，其中 <path name> 是存储该工具输出内容的位置。默认情况下，此转换参数会在执行该杀毒工具的文件夹内创建日志文件 FxNovarg.log。

/MAPPED
扫描映射的网络驱动器。（建议不使用此转换参数。请参考以下注意事项。）

/START
强制此工具立即开始扫描。

/EXCLUDE=<path>
不扫描指定的 <path>。（建议不使用此转换参数。）

/NOFILESCAN
不掃描文件系統。


--------------------------------------------------------------------------------
注意：
使用 /MAPPED 转换参数不能保证完全杀除远程计算机上的病毒，原因如下：
扫描映射驱动器时扫描的只是映射的文件夹。此操作可能不包括远程计算机上的所有文件夹，造成检测遗漏。
如果在映射驱动器上检测到病毒文件，而远程计算机上的某个程序正在使用该文件，则无法进行杀毒。
基于以上原因，请分别在每台计算机上运行此工具。
/EXCLUDE 转换参数只能处理一个路径，而不能处理多个路径。除此方法之外，还可以使用 /NOFILESCAN 转换参数，然后使用AntiVirus 进行手动扫描。这将使得该工具修改注册表。然后，通过 AntiVirus 使用最新的病毒定义对计算机进行扫描。执行这些操作应该能够清理文件系统。

以下是一个示例命令行，可以用来排除单个驱动器：
>"C:\Documents and Settings\user1\Desktop\FxNovarg.exe" /EXCLUDE=M:\ /LOG=c:\FxNovarg.txt

或者，下面的命令行将跳过文件系统扫描，但将修复对注册表所做的修改。然后，应使用正确的排除项运行常规系统扫描：
>"C:\Documents and Settings\user1\Desktop\FxNovarg.exe" /NOSCANFILE /LOG=c:\FxBeagle.txt

--------------------------------------------------------------------------------

获得并运行此工具

--------------------------------------------------------------------------------
注意：在 Windows NT 4.0、Windows 2000 或 Windows XP 上，需要具有管理权限才能运行此工具。
--------------------------------------------------------------------------------
警告：适用于网络管理员。如果正在运行 MS Exchange 2000 Server，建议您从命令行使用 Exclude 转换参数运行该工具，从而排除对 M 驱动器的扫描。不管是否进行此操作，在运行该工具之前都需要备份 M 驱动器上的所有数据。更多信息，请阅读 Microsoft 知识库文章 "XADM: Calendar Items Disappear from User's Folders" (文章ID 299046).
--------------------------------------------------------------------------------

从以下位置下载 FxNovarg.exe 文件：http://securityresponse.symantec.com/avcenter/FxNovarg.exe
将该文件保存到方便的位置，如您的下载文件夹或 Windows 桌面（如果可能，保存到确认未感染病毒的可移动介质中）。
要检查数字签名的可靠性，请参考“数字签名”部分。
关闭所有正在运行的程序。
断开与网络的连接。
如果运行的是 Windows Me 或 XP，请禁用系统还原功能。有关其他详细信息，请参考“Windows Me/XP 中的系统还原选项”部分。

--------------------------------------------------------------------------------
注意：如果运行的是 Windows Me/XP，强烈建议不要跳过此步骤。
--------------------------------------------------------------------------------

双击 FxNovarg.exe 文件以启动杀毒工具。
单击 Start 启动此进程，然后运行此工具。
重新启动计算机。
再次运行此杀毒工具以确保系统是干净的。
如果运行的是 Windows Me/XP，请重新启用系统还原功能。
如果你使用的是活动桌面，你需要将其还原。
运行 LiveUpdate，确保您使用的病毒定义是最新的。

--------------------------------------------------------------------------------
注意：如果未禁用 Windows Me/XP 系统还原功能，杀毒程序可能会失败，因为 Windows 禁止外部程序修改系统还原功能。
--------------------------------------------------------------------------------

此工具运行完毕后，将会出现一条消息，表明计算机是否受到 W32.Novarg.A@mm 的感染。删除蠕虫后，程序将显示下列结果：
已扫描的文件总数。
已删除的文件数。
已修订的文件数。
已终止的病毒进程数。
修订的注册表键数。
数字签名
FxNovarg.exe 是经过数字签名的。赛门铁克建议您只使用从 赛门铁克安全响应中心网站直接下载的 FxNovarg.exe 副本。要检查数字签名的可靠性，请执行下列操作：
转至 http://www.wmsoftware.com/free.htm。
将 Chktrust.exe 文件下载并保存到 FxNovarg.exe 所在的文件夹（例如，C:\Downloads）中。
根据您使用的操作系统，执行下列操作之一：
单击“开始”，指向“程序”，然后单击“MS-DOS 方式”。
单击“开始”，指向“程序”，再单击“附件”，然后单击“命令提示符”。
切换到存储 FxNovarg.exe 与 Chktrust.exe 的文件夹，然后键入：
chktrust -i FxNovarg.exe

例如，如果将文件保存在 C:\Downloads 文件夹，则应输入下列命令：
cd\
cd downloads
chktrust -i FxNovarg.exe

键入每个命令后按 Enter 键。如果数字签名有效，将显示下列内容：
"Do you want to install and run "W32.Novarg.A@mm Fix Tool" signed on 01/27/2004 9:05 AM and distributed by Symantec Corporation?"

注意
如果您的计算机没有设置为太平洋时区，则显示在此对话框中的日期和时间将根据您所在的时区进行调整。
如果使用的是夏令时，则显示的时间要早整整一个小时。
如果未出现此对话框，可能存在两个原因：
此工具不是由赛门铁克提供的。除非确定此工具是从合法赛门铁克网站下载的合法工具，否则不要运行它。
此工具是来自赛门铁克的合法工具，但您曾经将操作系统设置为始终信任来自赛门铁克的内容。有关此问题以及如何再次查看确认对话框的信息，请参阅文档：如何还原“生产商可靠性”确认对话框。
单击 Yes 关闭对话框。
键入 Exit，然后按 Enter 键。此操作将关闭 MS-DOS 会话。
Windows Me/XP 中的系统还原选项
Windows Me 和 Windows XP 用户应当暂时关闭系统还原功能。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

同样，在某些情况下，联机扫描程序也可能在 System Restore 文件夹中检测到威胁，即使您已经使用防病毒程序扫描过计算机，并且未发现任何受感染文件。

有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一：
如何禁用或启用 Windows XP 系统还原
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法，请参阅 Microsoft 知识库文章：病毒防护工具无法清除 _Restore 文件夹中受感染的文件，文章 ID：CH263455。