Here You Have Email Worm Detection

critical Nessus Plugin ID 49211

語系:

Synopsis

遠端 Windows 主機已受到 Here You Have 電子郵件蠕蟲感染。

描述

在遠端 Windows 主機系統上的檔案中發現「Here You Have」電子郵件蠕蟲存在。此主機的使用者可能會收到含有惡意「.scr」(螢幕保護程式) 檔案的電子郵件,若執行此檔案會導致該主機受到感染。

此惡意程式碼具有數個功能。最有害的功能為其可自我傳播,並透過電子郵件、卸除式磁碟機、共用資料夾和即時訊息感染系統。蠕蟲會將自己的副本傳送至 Microsoft Outlook 通訊錄和 Yahoo! Messenger,誘騙使用者點擊附加的「.scr」檔案,進而導致蠕蟲進一步傳播。

此惡意程式碼也會停用大量供應商提供的多種防毒套件,將其關閉以確保自己可在剛受到感染的系統上存活。在系統受到感染期間這些 AV 套件會維持停用狀態,因此 AV 掃描可能不會偵測到實際的感染。

此惡意程式碼還會嘗試針對 Internet Explorer 和 Firefox 中儲存的網站、無線網路金鑰等項目復原已儲存的密碼,然後將這個竊取到的資料傳回給攻擊者。達到上述目標的作法為使用設計用於復原認證的第三方非惡意工具。此惡意程式碼會以非標準方式儲存和使用這些工具,這是受到此惡意程式碼感染的指示。

解決方案

請更新主機的防毒軟體、清理主機並再次掃描,確認已將此惡意程式碼移除。如果徵兆持續,建議重新安裝受感染的主機。

另請參閱

http://www.nessus.org/u?0537683e

http://www.nessus.org/u?7378f54d

Plugin 詳細資訊

嚴重性: Critical

ID: 49211

檔案名稱: hyh_detect.nasl

版本: 1.12

類型: local

代理程式: windows

系列: Backdoors

已發布: 2010/9/13

已更新: 2022/2/1

資產庫: true

支持的傳感器: Nessus Agent

風險資訊

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: Critical

基本分數: 10

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

弱點資訊

必要的 KB 項目: SMB/Registry/Enumerated