Microsofts sikkerhetsveiledning 912920
Systemer som er infisert med Win32/Sober.Z@mm, kan laste ned og kjøre ondsinnede filer fra visse webdomener fra 6. januar 2006
Publisert: 3. januar 2006
Microsoft er oppmerksom på en variant av e-postormen Sober, kalt Win32/Sober.Z@mm. Ormen prøver å lokke brukere til å åpne en vedlagt eller kjørbar fil i en e-postmelding ved hjelp av såkalt "social engineering". Hvis mottakeren åpner den vedlagte eller kjørbare filen, sender ormen seg selv til alle kontaktene i systemets adressebok. Kunder som bruker den nyeste og mest oppdaterte antivirusprogramvaren, er mindre utsatt for angrep av Win32/Sober.Z@mm-ormen.
På systemer som er infisert av Win32/Sober.Z@mm, er den ondsinnede programvaren (malware) programmert til å laste ned og kjøre ondsinnede filer fra visse webdomener fra 6. januar 2006. Deretter starter den ca annenhver uke og laster ned og kjører ondsinnede filer fra flere områder på de samme webdomenene.
I likhet med alle kjente varianter av Sober-ormen, virker det ikke som om ormen retter seg mot et sikkerhetsproblem, men er i stedet avhengig av at brukere åpner et infisert vedlegg.
Microsoft la til funksjoner for oppdaging av de siste Sober-variantene i oppdateringen for desember 2005 av verktøyet for fjerning av ondsinnet programvare samt i Windows Live Safety Center.
Kunder som tror PCen deres er infisert av Sober, eller som er usikre på om den er infisert, bør gå inn på Safety.live.com og velge Protection Scan, eller kjøre den siste versjonen av verktøyet for fjerning av ondsinnet programvare, enten fra Microsoft Update eller Windows Update, slik at de kan være sikre på at systemet ikke er infisert. I tillegg tilbyr Windows OneCare fra Microsoft funksjoner for oppdaging og beskyttelse mot Sober og de kjente variantene av den.
Microsoft kommer til å gi ut en oppdatert versjon av verktøyet for fjerning av ondsinnet programvare 10. januar 2006. Den vil bidra ytterligere til å oppdage og fjerne kjente trusler fra ondsinnet programvare, deriblant Sober og de kjente variantene av den. Se Microsoft Knowledge Base-artikkel 891716 for mer informasjon om hvordan du kan bruke verktøyet for fjerning av ondsinnet programvare med de nyeste definisjonene for å beskytte deg mot ondsinnet programvare.
Se Microsofts virusleksikon hvis du trenger mer informasjon om Sober, hjelp til å avgjøre om du PCen din har blitt infisert av ormen eller instruksjoner om hvordan du kan reparere systemet hvis det har blitt infisert. Se delen Oversikt for referanser til Microsofts virusleksikon. Vi fortsetter å oppmuntre kunder til å være forsiktige med ukjente filvedlegg og til å følge våre råd om beskyttelse av PCen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet Beskytt din PC.
Begrensende faktorer:
- Kunder må åpne et ondsinnet e-postvedlegg for at PCen skal bli infisert av ormen.
Generell informasjon
Oversikt
Målet med veiledningen: Advarsel om mulig økt aktivitet 6. januar 2006 i forbindelse med Win32/Sober.Z@mm-ormen og tilgjengeligheten av begrensninger av denne potensielle trusselen.
Status for veiledningen: Veiledning publisert
Anbefaling: Les gjennom de foreslåtte handlingene, og skann og rens mulige infiserte systemer.
| Referanser | Identifisering |
|---|---|
| Microsofts virusleksikon | http://www.microsoft.com/security/encyclopedia/details.aspx?Name=Win32/Sober.Z@mm |
| Verktøy for fjerning av ondsinnet programvare | Webområdet Microsoft Security |
| Windows Live SafetyCenter | http://safety.live.com |
| Windows OneCare | http://beta.windowsonecare.com |
| Symantec | W32.Sober.X@mm |
| McAfee | W32/sober@mm!m681 |
| Trend Micro | WORM_SOBER.AG Beskrivelse og løsning |
| CA | Win32.Sober.W |
Denne veiledningen gjelder følgende programvare.
| Berørt programvare |
| Microsoft Windows 2000 Service Pack 4 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
| Microsoft Windows Server 2003 |
| Microsoft Windows Server 2003 for Itanium-based Systems |
| Microsoft Windows Server 2003 Service Pack 1 |
| Microsoft Windows Server 2003 SP1 for Itanium-based Systems |
| Microsoft Windows Server 2003 x64 Edition |
| Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) og Microsoft Windows Millennium Edition (ME) |
Vanlige spørsmål
Hva behandles i veiledningen?
Sober er en orm som påvirker Windows-baserte datamaskiner og ber brukere om å kjøre et ondsinnet filvedlegg i en e-postmelding eller klikke en kobling som har et infisert vedlegg. Når filvedlegget er kjørt, prøver denne ormen og alle variantene av den å sende seg selv til alle kontaktene i adresseboken til datamaskinen. Brukere kan allerede være beskyttet mot Sober og alle variantene av den hvis de har installert oppdaterte versjoner av antivirusprogramvare.
Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Nei. Dette er ikke et sikkerhetsproblem. På grunn av den forventede økte aktiviteten 6. januar 2006 i forbindelse med denne varianten, ble imidlertid denne oppdateringen utgitt for å advare brukere som kan bli berørt hvis de kjører en utgave av ormen som de har fått via et vedlegg, og for å gjøre dem oppmerksom på handlinger de kan utføre på forhånd for å fjerne mulige Sober-infiseringer.
Hva forårsaker denne risikoen?
Risikoen er forårsaket av kjøring av et infisert filvedlegg i en e-postmelding.
Er dette problemet beslektet med det nylige WMF-sikkerhetsproblemet eller Microsofts sikkerhetsveiledning (912840)?
Nei. Win32/Sober.Z@mm-ormen berører ikke det nylige WMF-sikkerhetsproblemet som ble rapportert i Microsofts sikkerhetsveiledning (912840).
Forslag til tiltak
Kontroller om datamaskinen er infisert av Sober og fjern ormen.
Bruk Microsoft Windows Malicious Software Removal Tool, Safety.live.com eller Windows OneCare for å søke etter og fjerne Sober-ormen og variantene av den fra infiserte systemer.
Overvåk utgående nettverkstilkoblinger til målwebområdene.
Siden Win32/Sober.Z@mm-ormen kan laste ned og kjøre ondsinnede filer fra visse webdomener fra 6. januar 2006, bør forsøk på tilkobling til følgende webområder overvåkes for tegn på en infisert vert på lokale nettverk.
Målwebområder people.freenet.de scifi.pages.at home.pages.at free.pages.at home.arcor.de Beskytt din PC.
Vi fortsetter å oppmuntre kunder til å følge våre råd om beskyttelse av PCen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet Beskytt din PC.
Finn mer informasjon om sikkerhet på Internett påhjemmesiden for Microsoft-sikkerhet.
Vær forsiktig ved åpning av vedlegg:
Vi anbefaler at brukere alltid er svært forsiktige når de åpner uønskede vedlegg både fra kjente og ukjente kilder.
Hold Windows oppdatert
Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.
Annen informasjon
Ressurser:
- Du kan gi oss tilbakemelding ved å fylle ut skjemaet på følgende webområde.
- Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services. Du finner mer informasjon om tilgjengelige alternativer for støtte, ved å gå til webområdet Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til webområdet for internasjonal støtte.
- Webområdet Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse:
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner:
- 3. januar 2006: Veiledning publisert
Built at 2014-04-18T01:50:00Z-07:00