TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]會下載木馬病毒的Downloader.Dowdec木馬病毒

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期日 九月 17, 2006 8:30 am    文章主題: [資通安全]會下載木馬病毒的Downloader.Dowdec木馬病毒 引言回覆

病毒型態:
特洛依木馬型病毒
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,Windows Server 2003, Windows XP
概述:
Downloader.Dowdec是一隻特洛依木馬病毒,會下載另一隻特洛依木馬病毒Backdoor.Hupigeon。
說明:
Downloader.Dowdec是一隻特洛依木馬病毒,會下載另一隻特洛依木馬病毒Backdoor.Hupigeon。當它被執行後,會執行以下動作:
1. 產生以下檔案:
%System%\MSVOID.DLL
(註) %System%\為系統資料夾,預設值為:
C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)或是C:\Windows\System32 (Windows XP)。
2. 在登錄資料庫內產生以下子鍵:
HKEY_CLASSES_ROOT\CLSID\
{BDE357AC-F3E4-C6DE-8EBD-692629635621}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{BDE357AC-F3E4-C6DE-8EBD-692629635621
企圖登錄為一 COM 物件
3. 企圖下載下列檔案:
[http://]3.qjqjqj.com/d[REMOVED]
4. 企圖由上述連結下載並執行檔案:
[http://]newsdy.6600.org/new[REMOVED]
上述之檔案為一 Backdoor.Hupigeon 之變種病毒。
5. 在受感染的電腦上顯示一下載資訊,隱藏病毒的存在。
解決方案:
1. 取消系統還原(對於Window Me/XP)
Window Me
(a) 點選 開始\設定\控制面版
(b) 滑鼠左鍵兩下點選執行系統(System)
(c) 在效能頁面點選檔案系統
(d) 勾選取消系統還原並點選確定重新開機
Window XP
(a) 點選 開始
(b) 滑鼠右鍵選取我的電腦,點選內容
(c) 尋找系統還原的頁面,取消系統還原
(d) 點選套用
(e) 電腦會提醒有關細節,點選確定
2. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克:http://securityresponse.symantec.com/avcenter/defs.download.html
趨勢科技:
http://www.trendmicro.com/download/zh-tw/
3. 執行全系統掃描
(a) 執行防毒軟體,並設定為執行全系統掃描
(b) 如果偵測到病毒,則採取防毒軟體所建議的步驟
[註1]如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
[註2]如果防毒軟體無法刪除病毒,則需重新啟動至安全模式,依防毒軟體指示刪除病毒,再進行下一步驟。
[註3]如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。
[注四]如何開啟安全模式請參考http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid
/2001052409420406?OpenDocument&src=sec_doc_nam
(c) 如果掃描出任何病毒,請刪除病毒
4. 刪除登入檔內的值(value):
(a) 滑鼠左鍵點選 開始\執行
(b) 鍵入 regedit
(c) 滑鼠左鍵點選 確定
(d) 尋找並刪除以下兩個子鍵(subkey):
(e) HKEY_CLASSES_ROOT\CLSID\
(f) {BDE357AC-F3E4-C6DE-8EBD-692629635621}
(g)
(h) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
(i) {BDE357AC-F3E4-C6DE-8EBD-692629635621}
(j) 離開登錄檔編輯器
(二) 其它資訊:
參考資料:
參考資料:
http://www.symantec.com/home_homeoffice/security_response/writeup.jsp?docid=2006-090223-3907-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組