TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]藉由P2P軟體來傳播的W32.Yawmo病毒

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
chw
Site Admin


註冊時間: 2006-01-02
文章: 69

發表發表於: 星期六 七月 22, 2006 9:56 am    文章主題: [資通安全]藉由P2P軟體來傳播的W32.Yawmo病毒 引言回覆

病毒型態:
蠕蟲病毒
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
W32.Yawmo是一隻藉由Winny及Share這2套P2P軟體檔案分享的網路來傳播的病毒,它可以藉由這兩套軟體將敏感的資訊傳送出去。
說明:
W32.Yawmo是一隻藉由Winny及Share這2套P2P軟體檔案分享的網路來傳播的病毒,它可以藉由這兩套軟體將敏感的資訊傳送出去。

一但W32.Yawmo被執行,會產生下列的動作:

1. 在下列位置產生下列的檔案:
A. %System%\System32\ya_wmp.exe
(ya_wmp.exe只是一份W32.HLLW.Antinny病毒的複製品。W32.HLLW.Antinny病毒是一隻由Microsoft Visual C++.所寫成的病毒,它主要是藉由Winny這套P2P軟體的檔案分享網路來傳播。有關於W32.HLLW.Antinny病毒的詳細說明請參考 http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.antinny.html )

B. %System%\winsocks.dll
(winsocks.dll是W32.Mydoom.B@mm的複製品。它主要功能是會開啟被感染電腦的後門,藉此下載W32.Yawmo。有關於W32.Mydoom.B@mm病毒的詳細說明請參考
http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html )
註:%System%代表系統資料夾的位置在Windows 95/98/Me的預設位置是C:\Windows\System在Windows NT/2000的預設位置是C:\Winnt\System32而在Windows XP的預設位置是C:\Windows\System32

2. 在C:\Recycler或C:\Recycled資料夾下產生一個偽裝成explorer.exe的Backdoor.Nodelm病毒複製檔
(Backdoor.Nodelm 是一隻能開啟受感染電腦後門的木馬程式,並且它能使一個遠端的攻擊者可以未經授權就存取受感染的電腦。有關於Backdoor.Nodelm病毒的詳細說明請參考
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.nodelm.html )

3. 在下列註冊子機碼中新增值,使ya_wmp.exe以及winsocks.dll在每次開機時能自動執行:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新增"YA_WMP" = "%System%\ya_wmp.exe -update" HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32
新增"(Default)" = "%System%\winsocks.dll"

4. 在註冊子機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新增值"explorer.exe" = ""%Recycler%/explorer.exe""

5. 搜尋Winny和Share的上傳資料夾並下載檔案至這些上傳資料夾中

6. 開啟媒體播放程式(Windows Media Player)
解決方案:
1. 清除系統復原器 (Windows Me/XP)。系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄他們。Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。這麼一來既使你已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。

清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam

清除Windows XP系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam

2. 更新你的防毒軟體的病毒定義檔。
[注意]若是你的電腦沒有安裝防毒軟體可以參考以下幾個免費線上掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/

3. 以安全模式或是命令提示列的安全模式重新啟動電腦。
4. 使用你的防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
5. 從下列步驟移除或修正被修改的註冊機碼值
A. 從”開始”選擇”執行”.
B. 輸入regedit
C. 按下”確定”來開啟註冊碼編輯器
D. 至下列子機碼位置 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
E. 刪除在右邊視窗的下列機碼值 "YA_WMP" = "%System%\ya_wmp.exe -update"
F. 至下列子機碼位置 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35- 11CF-9C87-00AA005127ED}\InprocServer32
G. 刪除在右邊視窗的下列機碼值 "(Default)" = "%System%\winsocks.dll"
H. 至下列子機碼位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
I. 刪除在右邊視窗的下列機碼值 "explorer.exe" = ""%Recycler%/explorer.exe""
J. 離開註冊碼編輯器
6. 將電腦由一般模式啟動,即完成w32.yawmo病毒清除處理程序。
參考資料:
http://www.symantec.com/avcenter/venc/data/w32.yawmo.html
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組