Here You Have 電子郵件蠕蟲偵測
critical Nessus Plugin ID 49211
語系:
Synopsis
遠端 Windows 主機已受到 Here You Have 電子郵件蠕蟲感染。描述
在遠端 Windows 主機系統上的檔案中發現「Here You Have」電子郵件蠕蟲存在。此主機的使用者可能會收到含有惡意「.scr」(螢幕保護程式) 檔案的電子郵件,若執行此檔案會導致該主機受到感染。此惡意程式碼具有數個功能。最有害的功能為其可自我傳播,並透過電子郵件、卸除式磁碟機、共用資料夾和即時訊息感染系統。蠕蟲會將自己的副本傳送至 Microsoft Outlook 通訊錄和 Yahoo! Messenger,誘騙使用者點擊附加的「.scr」檔案,進而導致蠕蟲進一步傳播。
此惡意程式碼也會停用大量供應商提供的多種防毒套件,將其關閉以確保自己可在剛受到感染的系統上存活。在系統受到感染期間這些 AV 套件會維持停用狀態,因此 AV 掃描可能不會偵測到實際的感染。
此惡意程式碼還會嘗試針對 Internet Explorer 和 Firefox 中儲存的網站、無線網路金鑰等項目復原已儲存的密碼,然後將這個竊取到的資料傳回給攻擊者。達到上述目標的作法為使用設計用於復原認證的第三方非惡意工具。此惡意程式碼會以非標準方式儲存和使用這些工具,這是受到此惡意程式碼感染的指示。
解決方案
請更新主機的防毒軟體、清理主機並再次掃描,確認已將此惡意程式碼移除。如果徵兆持續,建議重新安裝受感染的主機。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 49211
檔案名稱: hyh_detect.nasl
版本: 1.12
類型: local
代理程式: windows
系列: Backdoors
已發布: 2010/9/13
已更新: 2022/2/1
資產庫: true
支持的傳感器: Nessus Agent
風險資訊
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
風險因素: Critical
基本分數: 10
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
弱點資訊
必要的 KB 項目: SMB/Registry/Enumerated