当通过 Symantec Bloodhound 技术发现一种可能的未知病毒时,Symantec 防病毒产品会使用唯一的病毒名称 Bloodhound.Packed。Bloodhound 技术採用了启发式算法,以检测未知病毒。在 Bloodhound.Packed 下检测到的实际档案很可能感染了一种打包的新 32 位 Windows 病毒。 只在可移植的执行档 (PE) 中会检测到 Bloodhound.Packed。Bloodhound.Packed 可以检测打包档案内的任何威胁。
基本介绍
- 外文名:Bloodhound.Packed
- 感染长度: various
- 类型:Trojan Horse, Worm, Virus
- 发现时间: 2004 年 1 月 19 日
- 更新:2007 年 2 月 13 日 12:20:04 PM
- 广度级: Low
- 感染数量: 0 - 49
- 站点数量:0 - 2
- 威胁抑制:Easy
防护
* 病毒定义(每周 LiveUpdate™) 2004 年 1 月 21 日
* 病毒定义(智慧型更新程式) 2004 年 1 月 19 日
* 广度级别: Low
* 感染数量: 0 - 49
* 站点数量: 0 - 2
* 地理位置分布: Low
* 清除: Easy
损坏
* 损坏级别: Low
分发
* 分发级别: Low
检测
检测为 Bloodhound.Packed 的样本提交给 Symantec 安全回响中心,以识别这些新病毒和变种并为其指定特定的名称。然后,我们可以对它们进行分析并提供有关其特性的更多信息。
要了解如何提交档案,请参阅您的 Symantec 防病毒产品的文档:
* 单机版产品:如果您使用的是 Symantec 单机版防病毒产品,如 Norton AntiVirus 2004,请单击此处。
* 企业版产品:如果您使用的是 Symantec 企业版防病毒产品,如 Norton AntiVirus 企业版 7.0,请单击此处。
建议
赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多作业系统会安装不必要的辅助服务,如 FTP 伺服器、telnet 和 Web 伺服器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程式更新即可完成。
* 如果混合型威胁攻击了一个或多个网路服务,则在套用补丁程式之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程式,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时套用。
* 强制执行密码策略。 複杂的密码使得受感染计算机上的密码档案难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件,这些档案常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附属档案。 并且只在进行病毒扫描后才执行从网际网路下载的软体。如果未对某些浏览器漏洞套用补丁程式,那幺访问受感染的网站也会造成病毒感染。
处理步骤
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
1. 关闭「系统还原」(Windows Me/XP)。
2. 更新病毒定义档案。
3. 执行完整的系统扫描,并删除所有侦测到的 Bloodhound.Packed 档案。
或:1.安装系统补丁(对于Win2000server)
Windows2000-KB329115-x86-CHS.exe
Windows2000-KB828741-x86-CHS_e5de3240894fc24df06671c42a613c4.EXE
Windows2000-KB835732-x86-CHS_779d1b67c993ed5edaeeb6706f37a0d.EXE
Windows2000-KB837001-x86-CHS_f9aef1eaf7c9990dfad809b64dff6d4.EXE
2.在任务管理器中杀掉navmgrd.exe进程
3.norton 会自动隔离病毒档案或者去winnt\system32\直接删除navmgrd.exe档案
详细过程
如需关于这些步骤的详细信息,请阅读下列指示。
1. 关闭「系统还原」(Windows Me/XP)
如果您使用的是 Windows Me 或 Windows XP,我们建议您暂时关闭「系统还原」。Windows Me/XP 使用这个预设启用的功能,来还原您计算机上受损的档案。如果病毒、蠕虫或特洛伊木马感染的计算机,「系统还原」可能会一併将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程式的外来程式修改「系统还原」。因此,防毒程式或是工具并无法移除「系统还原」数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染档案清除,「系统还原」还是很有可能会将受感染的档案一併还原至计算机中。
同时,病毒可能会侦测到「系统还原」数据夹里的威胁,即使您已移除该威胁亦然。
有关如何关闭「系统还原」的说明,请阅读您的 Windows 档案,或下列文章:
* 如何关闭或启用 Windows Me「系统还原」。
注意:当您全部完成了移除程式之后,并且确定威胁已经移除,请依循上述档案中的指示重新启用「系统还原」。
如需其它信息以及关闭 Windows Me「系统还原」的其它方法,请参阅 Microsoft 知识库的文章「病毒防护工具无法清除 _Restore 资料夹中受感染的档案」,文章识别码 (Article ID):
2. 更新病毒定义档案
赛门铁克安全机制应变中心在将所有病毒定义档案公布于伺服器之前已完成品质测试。您可以使用下列两种方式来取得最新的病毒定义档案:
* 执行 LiveUpdate 是获得病毒定义档案的最简单方法:这些病毒定义档案会每星期一次更新到 LiveUpdate 伺服器上 (通常是星期三),当有疫情发生时则例外。若要决定此威胁的定义档是否可由 LiveUpdate 取得,请参阅「病毒定义档案 (LiveUpdate)」。
* 使用 Intelligent Updater 下载定义档:Intelligent Updater 的病毒定义档案会在美国的工作日 (星期一到星期五) 公布。您必须由「赛门铁克安全机制应变中心」网站手动下载及安装定义档。若要决定此威胁的定义档是否可由 Intelligent Updater 取得,请参阅「病毒定义档案 (Intelligent Updater)」。
智慧型更新程式 (Intelligent Updater)病毒定义档案可由http://securityresponse./avcenter/defs.download.html 处取得。详细指示说明请参阅「如何使用 Intelligent Updater 来更新病毒定义档案」档案。
3. 扫描并删除受感染的档案
1. 启动您的赛门铁克防毒程式,确定已架构为扫描所有档案。
* Norton AntiVirus 消费者产品:请阅读「如何设定 Norton AntiVirus 以扫描所有档案」文章。
* 赛门铁克企业版防毒产品:请阅读「如何确认 Symantec Corporate 防毒产品已设定为扫描所有档案」文章。
2. 执行完整系统扫描。
3. 如果侦测到任何受 Bloodhound.Packed 感染的档案,请按下「删除」。
