TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]專門竊取後門程式資訊的Backdoor.Lassrv.B病毒

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
chw
Site Admin


註冊時間: 2006-01-02
文章: 69

發表發表於: 星期六 八月 26, 2006 11:42 am    文章主題: [資通安全]專門竊取後門程式資訊的Backdoor.Lassrv.B病毒 引言回覆

病毒型態:
後門
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
Backdoor.Lassrv.B為專門竊取資訊的後門程式。在受感染系統開啟後門允許非授權的存取與修改windows中LSASS.EXE檔案。
說明:
Backdoor.Lassrv.B為專門竊取資訊的後門程式。在受感染系統開啟後門允許非授權的存取與修改windows中LSASS.EXE檔案。當該後門程式執行會進行以下行為:
1. 建立下列檔案:
财 %System%\lsasrv32.dll
财 %System%\CMIB870U.DLL
财 %System%\CMIB129U.DLL
註:%System%為Windows系統預設資料夾,預設位置為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).
2. 修改%System%\LSASS.EXE檔案,以便於下次啟動時強制載入lsasrv32.dll於記憶體中。
3. 利用許多HTTP協定連線下列遠端主機:
财 81.31.36.242
4. 可能下載檔案。
解決方案:
1. 取消系統還原(對於Window Me/XP)
Window Me
(a) 點選 開始\設定\控制面版
(b) 滑鼠左鍵兩下點選執行系統(System)
(c) 在效能頁面點選檔案系統
(d) 勾選取消系統還原並點選確定重新開機
Window XP
(a) 點選 開始
(b) 滑鼠右鍵選取我的電腦,點選內容
(c) 尋找系統還原的頁面,取消系統還原
(d) 點選套用
(e) 電腦會提醒有關細節,點選確定
2. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克:http://securityresponse.symantec.com/avcenter/defs.download.html
趨勢科技:
http://www.trendmicro.com/download/zh-tw/
3. 執行全系統掃描
(a) 執行防毒軟體,並設定為執行全系統掃描
(b) 如果偵測到病毒,則採取防毒軟體所建議的步驟
[註1]如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
[註2]如果防毒軟體無法刪除病毒,則需重新啟動至安全模式,依防毒軟體指示刪除病毒,再進行下一步驟。
[註3]如果出現檔案遺失的訊息,請放心,在完全遺除病毒後便不會再出現,請點選 確定 略過訊息。
[註4]如何開啟安全模式請參考http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid /2001052409420406?OpenDocument&src=sec_doc_nam
(c) 如果掃描出任何病毒,請刪除病毒
4. 刪除所建立的檔案:
财 %System%\lsasrv32.dll
财 %System%\CMIB870U.DLL
财 %System%\CMIB129U.DLL
註:該病毒可能影響系統重要的檔案,建議將系統重新安裝,以確實清除後門程式對系統的影響。
參考資料:
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-082409-3922-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組