|
|
安全响应小组警报- 新蠕虫: Mydoom.c
严重程度: 中等
日期:2004年2月9日
更新:2003年2月10日
本警告已经更新以提醒您上周在微软下载中心发布的Mydoom清除工具已经更新,增加了扫描系统中的Mydoom.C(也称作DoomJuice)并自动清除的能力。这是对只能扫描并自动清除系统中Mydoom.A和Mydoom.b的前一版本功能的补充。
另外,该工具还被更新使之除了能在Windows 2000和32-bit Windows XP系统上运行以外,也能在Windows 98, Windows ME, Windows Server 2003系统上运行。该工具还只用US英语版本。
微软已经更新知识库文档,836528,加入了Mydoom清除工具的新功能。
http://support.microsoft.com/?kbid=836528
随着最新信息的获取,我们将更新TeckNet上的警告,并重新发布PSS安全警告。
受影响的产品: Microsoft Outlook, Microsoft Outlook Express, 和基于web 的e-mail
**********************************************************************
这是什么?
Mydoom.C (也称DoomJuice) 是Mydoom蠕虫的一个变种,它只会攻击并影响那些被Mydoom.A 感染的系统。没有被 Mydoom.A 感染的用户不会受Mydoom.C的影响。被 Mydoom.B 感染的用户不会受Mydoom.C的影响。
Mydoom.C 也会尝试针对微软网站进行服务拒绝攻击。所有微软网站是稳定且可用的。更多信息请参见:
http://www.microsoft.com/security/antivirus/mydoom.asp
微软Product Support Services的安全部门正在发布此警告以提醒客户注意这个广泛传播的病毒。建议客户阅读以下信息并针对他们的环境采取适当的行动。
攻击所造成的影响: 拒绝服务攻击(DOS攻击)
技术细节:
要得到更多针对这种病毒的详细信息请访问已参加微软病毒信息联盟(VIA)的反病毒软件经销商的网站,链接如下:
Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=38238
Network Associates:
http://vil.nai.com/vil/content/v_101002.htm
Symantec http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.doomjuice.html
Trend Micro: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A
要得到更多关于微软病毒信息联盟的资料请访问如下链接: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/virus/via.asp
请联系您的反病毒软件供应商以获得该病毒的更详细信息。
防范:
Mydoom.C 只会在被Mydoom.A 感染的系统上繁殖,通过连接TCP端口 3127。 你可以通过禁止对TCP端口3127的访问来防止系统被感染。(说明: Windows XP下的 Internet Connection Firewall (ICF) 在默认情况下会阻止对 TCP 端口 3127的访问,你可以通过确保你没有被Mydoom.A感染来防止 Mydoom.C 的感染,也就是预防Mydoom.A 的感染或对已经被感染的机器尽快进行清理。
如何防止被Mydoom.A感染:
Outlook 2000 post SP2和Outlook XP SP1包含了最近的更新以改善Oulook和其他Office产品的安全性。其中包括阻挡具有潜在威胁的附件类型的功能。它能够被配置为阻挡Zip文件,但该项配置默认为关闭。
为了确保您使用的是最新版本的Office,请打开如下链接:
http://office.microsoft.com/ProductUpdates/default.aspx
默认状态,Outlook 2000 pre SR1和Outlook 98并不具备此项功能,但它能够通过安装Outlook E-mail安全更新而获得。关于Outlook E-mail安全更新的更多信息可以在这里找到:
http://office.microsoft.com/Downloads/2000/Out2ksec.aspx
Outlook Express 6能配置为阻挡具有潜在破坏性的附件。关于如何配置此项功能的信息可以在这里找到:
http://support.microsoft.com/?id=291387
Outlook Express的所有其它版本:Outlook Express的前期版本不包含附件阻挡功能。在打开不明来源的e-mail中的附件时要格外小心。
基于Web的e-mail程序:使用应用层防火墙能保护您免受该病毒的感染。
清理已经被 MydoomA 感染的系统:
如果您的公司有计算机已经感染了该病毒,请联系您首选的防病毒软件供应商或者微软产品支持服务(Product Support Services)以协助您清除。
你也可以使用 Mydoom 恢复工具将系统中的Mydoom.A 和 Mydoom.B清除,详细信息可以参考微软知识库文章- 836528 。
恢复:
如果您的计算机已经感染了该病毒,请联系您首选的防病毒软件供应商或者微软产品支持服务(Product Support Services)以协助您清除。您也可以用微软知识库文章836528中详述的Mydoom恢复工具清除系统中的Mydoom病毒。
TECHNET SECURITY 链接:
http://www.microsoft.com/technet/security/virus/alerts/mydoomc.asp
微软全球技术中心安全技术部
 |
|
发表于 2004-2-11 15:18:30
