TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]感染可執行檔*.EXE及竊取使用者密碼之W32.Munia病毒

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期一 九月 04, 2006 10:59 am    文章主題: [資通安全]感染可執行檔*.EXE及竊取使用者密碼之W32.Munia病毒 引言回覆

病毒型態:
病毒
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
W32.Munia為一病毒,用來感染被使用者開啟之可執行檔(executable files),也可竊取使用者密碼資訊(password information)。
說明:
W32.Munia為一病毒,用來感染被使用者開啟之可執行檔(executable files),也可竊取使用者密碼資訊(password information)。其執行過程如下:
1. 產生下列檔案。
%Windir%\Downloaded Program Files\muniu.dll
%Windir%\Downloaded Program Files\muniu.exe
%Windir%\rundll32.exe
%CurrentFolder%\Thumbs.bd
2.至下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新增下列登錄項目(registry entry):
"nvsetup" = "%Windir%\Downloaded Program Files\muniu.exe"
3.刪除下列登錄子機碼(registry subkey)。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MsgCenterExe
4.至給下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
新增下列登錄項目(registry entry):
"Checkedvalue" = "0"
5.至下列登錄子機碼(registry subkey)中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
設定:
"ImagePath" = "%Windir%\Downloaded Program Files\muniu.exe"
6.至下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
新增下列登錄項目(registry entry):
"Start" = "2"
7.把munia.dll注入(inject)到所有目前正在執行的程式。
8.竊取遊戲Legend of Mir的帳號。
9.將上一步驟所得資料上傳至下列連結:
www.hxing2.com/m
10.當*.exe檔案被感染後,將被防毒軟體判定為W32.Munia!inf。
解決方案:
1.清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄下。Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
2.更新防毒軟體的病毒定義檔。
3.以安全模式或是命令提示列的安全模式重新啟動電腦。
[注意]若是使用者電腦沒有安裝防毒軟體可以參考以下幾個線上免費掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
4.使用防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
5.刪除病毒產生之登錄項目(registry entry)。
(注意:強烈建議在修改登錄項目(registry entry)之前,先備份好登錄檔(registry),不正確地修改登錄檔(registry)或子機碼(subkey)將造成資料永久毀壞。關於如何備份登錄檔(registry),可參考下列連結:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam )
a. 開始(Start)迳執行(Run)。
b. 輸入regedit。
(注意:如果登錄檔編輯器(registry editor)不能執行,可能原因為病毒修改登錄檔存取限制。可參考下列連結解決:
http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html )
c.至下列子機碼(subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
d.刪除下列之值:
"XXentryXX" = "XXvalueXX"
e.離開登錄檔編輯器(registry editor)。
6.刪除列病毒所產生的檔案:
%Windir%\Downloaded Program Files\muniu.dll
%Windir%\Downloaded Program Files\muniu.exe
%Windir%\rundll32.exe
%CurrentFolder%\Thumbs.bd

建議事項:
-關閉或移除不必要之程式,減少管理風險。如FTP 伺服器, telnet, Web
伺服器。
-如果網路上提供服務之應用程式受到攻擊,立即關閉直到更新檔更
新完畢。
-常使程式版本維持最新。
-加強密碼機制。複雜度高之密碼較有安全性。
-設定郵件伺服器隔離或移除容易藏有病毒之附加檔,
如.vbs, .bat, .exe, .pif and .scr。
-隔離已受感染電腦防止更深一層破壞。

參考資料:
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-080510-5539-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組