W32.Magistr.39921@mm

Versão para impressão

Descoberta: September 03, 2001
Atualizado: February 13, 2007 11:37:41 AM
Também conhecido como: I-Worm.Magistr.b [Kaspersky], W32.Magistr.B@mm, W32/Magistr.b@MM [McAfee], W32/Magistr.32768@mm [Frisk], PE_Magistr.B [Trend], W32/Magistr-B [Sophos], Win32.Magistr.29188 [Computer
Tipo: Worm, Virus
Extensão da infecção: 39,921 bytes
Sistemas afetados: Windows


O W32.Magistr.39921@mm é uma variação do W32.Magistr.24876@mm .

Datas da proteção antivírus

  • Versão inicial do Rapid Release September 04, 2001
  • Última versão do Rapid Release June 10, 2018 revisão 023
  • Versão inicial diária certificada September 04, 2001
  • Última versão diária certificada June 11, 2018 revisão 001
  • Data da versão inicial semanal certificada September 04, 2001

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Peter Ferrie

Descoberta: September 03, 2001
Atualizado: February 13, 2007 11:37:41 AM
Também conhecido como: I-Worm.Magistr.b [Kaspersky], W32.Magistr.B@mm, W32/Magistr.b@MM [McAfee], W32/Magistr.32768@mm [Frisk], PE_Magistr.B [Trend], W32/Magistr-B [Sophos], Win32.Magistr.29188 [Computer
Tipo: Worm, Virus
Extensão da infecção: 39,921 bytes
Sistemas afetados: Windows


Aqui está uma lista das características adicionais e diferenças de comportamento entre o W32.Magistr.39921@mm e o W32.Magistr.24876@mm:

    • Reconhece os catálogos de endereço do Eudora (listados no Eudora.ini)
    • Exclui de *.ntz ao procurar por arquivos.
    • Tenta desativar a interface de usuário do ZoneAlarm (isso não desativa a funcionalidade de firewall do ZoneAlarm).
    • Adiciona uma entrada à linha Shell=explorer.exe na seção de inicialização do System.ini, ativando o W32.Magistr.Trojan. Em alguns casos, pode adicionar uma ou mais entradas ao Registro.
    • Pesquisa em mais pastas do Windows (Winnt, Windows, Win95, Win98, Winme, Win2000, Win2k, Winxp.)
    • Envia por e-mail um anexo com extensão aleatória (.exe, .bat, .pif, or .com.)
    • Ocasionalmente anexa .gifs a mensagens de e-mail.
    • A atividade do vírus sobrescreve os arquivos Ntldr (Windows NT/2000/XP) e Win.com (todos os SO Windows de 32 bits) em todas as unidades usando um código que faz com que dados inutilizáveis (lixo) sejam armazenados no primeiro setor da primeira unidade de disco IDE.

Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Peter Ferrie

Descoberta: September 03, 2001
Atualizado: February 13, 2007 11:37:41 AM
Também conhecido como: I-Worm.Magistr.b [Kaspersky], W32.Magistr.B@mm, W32/Magistr.b@MM [McAfee], W32/Magistr.32768@mm [Frisk], PE_Magistr.B [Trend], W32/Magistr-B [Sophos], Win32.Magistr.29188 [Computer
Tipo: Worm, Virus
Extensão da infecção: 39,921 bytes
Sistemas afetados: Windows


Remoção usando a ferramenta de remoção do W32.Magistr.39921@mm
O Symantec Security Response criou uma ferramenta para remover infecções do W32.Magistr.39921@mm, que é a maneira mais fácil de se remover esta ameaça.

Remoção manual
Para remover o W32.Magistr.39921@mm e o cavalo de Tróia resultante, execute o NAV e repare quaisquer arquivos infectados. Os arquivos que não podem ser reparados devem ser excluídos. A seguir, remova a entrada W32.Magistr.Trojan na linha Shell= do System.ini e quaisquer entradas que tenham sido adicionadas ao Registro.

Para remover o W32.Magistr.39921@mm:

  1. Execute o LiveUpdate para certificar-se de que tenha as definições de vírus mais recentes.
  2. Inicie o Norton AntiVirus (NAV), e certifique-se de que esteja configurado para verificar todos os arquivos. Para obter instruções sobre como fazer isso, consulte o documento Como configurar o Norton AntiVirus para verificar todos os arquivos.
  3. Execute uma verificação completa do sistema.
  4. Caso algum arquivo seja detectado com uma infecção pelo W32.Magistr.39921@mm, anote o nome do arquivo e clique em Reparar. Os arquivos que não podem ser reparados devem ser excluídos. Se necessário, restaure os arquivos excluídos a partir de um backup limpo.

    CUIDADO: Arquivos detectados com o W32.Magistr.Trojan (observe a extensão Trojan) devem ser restaurados de cópias de backup ou extraídos da instalação de CD original. (Esses são arquivos de sistema Ntldr e Win.com. O Ntldr é encontrado em computadores Windows NT/2000/XP. O Win.com é encontrado em todos os sistemas operacionais Windows de 32 bits). Seu sistema não irá funcionar corretamente na ausência deles. Para obter informações sobre como fazê-lo, consulte sua documentação do Windows ou um dos documentos a seguir:
    Para remover a entrada do W32.Magistr.Trojan do System.ini:
    1. Durante a verificação do NAV, anote o nome dos arquivos infectados pelo W32.Magistr.Trojan.
    2. Clique em Iniciar e em Executar.
    3. Digite o seguinte e clique em OK.

      edit c:\windows\system.ini

      O editor do MS-DOS será aberto.

      NOTA: Se o Windows estiver instalado em um diretório diferente, faça a substituição do caminho apropriada.
    4. Na seção [boot] do arquivo, procure pela entrada seguinte:

      shell=Explorer.exe
    5. Posicione o cursor imediatamente à direita de Explorer.exe.
    6. Pressione Shift+End para selecionar todo o texto à direita de Explorer.exe e pressione Delete.
    7. Clique em Arquivo e em Sair.
    8. Clique em Sim quando solicitado a salvar as alterações.

    NOTA: Caso ainda tenha problemas após seguir essas instruções de remoção, siga as instruções na seção Remoção do W32.Magistr.24876@mm .

    Para editar o Registro:

    CUIDADO : É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
    1. Clique em Iniciar e em Executar. A caixa de diálogo Executar será exibida.
    2. Digite regedit e clique em OK. O Editor do Registro será aberto.
    3. Navegue até a seguinte chave:

      HKEY_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. No painel direito, procure pelo valor com um nome de arquivo aleatório com a extensão .exe e que aponte para a pasta \WinNT\System ou \Windows\System. Esse pode ser o nome de um arquivo que tenha sido detectado como W32.Magistr.39921@mm ao executar a verificação completa do sistema.
    5. Exclua todos os valores como esse que encontrar.
    6. Siga um dos procedimentos abaixo:
      • Se estiver executando o Windows 95/98/Me, clique em Registro e em Sair.
      • Se estiver executando o Windows NT/2000/XP, vá para a etapa 7.
    7. Navegue até a seguinte chave:

      HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
    8. No painel à direita, clique duas vezes no valor a seguir:

      Shell
    9. Examine a caixa de dados de valor. Ela deve conter apenas o texto Explorer.exe, conforme mostrado.


    10. Caso contenha qualquer texto à direita de Explorer, exe, por exemplo, warm.exe,



      remova tal texto de modo que apenas Explorer.exe permaneça, conforme mostrado na etapa 9.
    11. Clique em Registro e em Sair.


    Escrito por: Peter Ferrie