TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]藉由Yahoo!Messenger散佈感染電腦上連線下載檔案

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期日 十月 15, 2006 11:21 am    文章主題: [資通安全]藉由Yahoo!Messenger散佈感染電腦上連線下載檔案 引言回覆

病毒型態:
蠕蟲病毒
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
藉由Yahoo!Messenger散佈的蠕蟲,並企圖於被感染的電腦上至遠端下載檔案。
說明:
W32.Imaut.C是一隻藉由Yahoo!Messenger散佈的蠕蟲,並企圖於被感染的電腦上至遠端下載檔案。當病毒被執行後會有以下步驟:
1.至下述網站下載病毒本體並放置於%Windir%\taskmng.exe
2.[http://]66.98.138.31/~kfc/giaitri/tm[REMOVED]
3.於登錄資料庫下述子機碼(subkey)內:
4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
5.Windo ws\CurrentVersion\Run
6.新增下述值(value):
7."Task Manager" = "%Windir%\taskmng.exe"
8.[註]” Windo ws”中的空白並非筆誤,底下亦是。
9. 於登錄資料庫下述子機碼(subkey)內:
10. HKEY_CURRENT_USER\Software\Microsoft\
11. Windo ws\CurrentVersion\Policies\System
12. 新增下述值(value):
13. "DisableTaskMgr" = "1"
14. 於登錄資料庫下述子機碼(subkey)內:
15. HKEY_CURRENT_USER\Software\Microsoft\
16. Wind ows\CurrentVersion\Policies\System
17. 新增下述值(value):
18. "DisableRegistryTools" = "1"
19. 於登錄資料庫下述子機碼(subkey)內:
20. HKEY_CURRENT_USER\Software\Policies\Micro soft\
21. Internet Explorer\Control Panel
22. 新增下述值(value):
23. "Homepage" = "1"
24. 於登錄資料庫下述子機碼(subkey)內:
25. HKEY_CURRENT_USER\Software\Microsoft\
26. Inter net Explorer\Main
27. 新增下述值(value):
28. "Window Title" = "Ay chet, o doi ai lai la`m the !"
29. 於登錄資料庫下述子機碼(subkey)內:
30. HKEY_CURRENT_USER\Software\Microsoft\Inte rnet Explorer\Main
31. 新增下述值(value):
32. "Start Page" = "[http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]"
33. 於登錄資料庫下述子機碼(subkey)內:
34. HKEY_CURRENT_USER\Software\Yahoo\pager\Vi ew\YMSGR_buzz
35. 新增下述值(value):
36. "content url" = "[http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]"
37. 於登錄資料庫下述子機碼(subkey)內:
38. HKEY_CURRENT_USER\Software\Yahoo\pager\Vie w\YMSGR_Launchcast
39. 新增下述值(value):
40. "content url" = "[http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]"
41. 在任何Yahoo! Messenger的視窗中發送下列其中一則訊息:
财 Hay lam ban oi [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 tuyet voi [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Vo day xem ti [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Xem ho cai nay cai [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Vo ung ho di [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Dep le'm [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Hay hay hay ... [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Hit me now [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Dung bo lo ban oi [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
财 Vo day ma xem ne [http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]
[註]在[http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]中的檔案為另一隻病毒-Downloader的拷貝版本,會自動下載此蠕蟲
解決方案:
1. 取消系統還原(對於Window Me/XP)
Window Me
(a) 點選 開始\設定\控制面版
(b) 滑鼠左鍵兩下點選執行系統(System)
(c) 在「效能」頁面點選「檔案系統」
(d) 勾選「取消系統還原」並點選「確定」重新開機
(註)請參考連結:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
Window XP
(a) 點選「開始」
(b) 滑鼠右鍵選取「我的電腦」,點選「內容」
(c) 尋找「系統還原」的頁面,關閉系統還原
(d) 點選「套用」
(e) 電腦會提醒有關細節,點選「確定」
(註)請參考連結: http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
2. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克:http://securityresponse.symantec.com/avcenter/defs.download.html
趨勢科技:http://www.trendmicro.com/download/zh-tw/
3. 執行全系統掃描
(a) 執行防毒軟體,並設定為執行全系統掃描
(b) 如果偵測到病毒,則採取防毒軟體所建議的步驟
[註1]如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
[註2]如果防毒軟體軟體無法刪除病毒,則需重新啟動至安全模式,依防毒軟體指示刪除病毒,再進行下一步驟。
[註3]如果出現檔案遺失的訊息,在完全移除病毒後便不會再出現,請點選「確定」略過訊息。
[註4]如何開啟安全模式請參考http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&src=sec_doc_nam
[註5]若無防毒軟體或無法至網站線上掃毒,請進入安全模式刪除病毒檔:
财 %System%\svch0st.exe
财 %System%\Wow.dll
财 (即本文件所述之病毒檔案),但強烈建議利用防毒軟體等方式刪除病毒。
(c) 如果掃描出任何病毒,請刪除病毒
4. 刪除登入檔內的值(value):
(a) 滑鼠左鍵點選 開始\執行
(b) 鍵入 regedit
(c) 滑鼠左鍵點選「確定」
(註)病毒有可能改變登錄資料庫防止使用者執行登錄檔編輯器,請下載下述工具解決此問題:
http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99
(d) 尋找以下子鍵:
(e) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
(f) Windo ws\CurrentVersion\Run
(g) 在登錄檔編輯器右欄刪除下值(value):
(h) "Task Manager" = "%Windir%\taskmng.exe"
(i) 尋找以下子鍵:
(j) HKEY_CURRENT_USER\Software\Microsoft\
(k) Windo ws\CurrentVersion\Policies\System
(l) 在登錄檔編輯器右欄刪除下值(value):
(m) "DisableTaskMgr" = "1"
(n) 尋找以下子鍵:
(o) HKEY_CURRENT_USER\Software\Microsoft\
(p) Wind ows\CurrentVersion\Policies\System
(q) 在登錄檔編輯器右欄刪除下值(value):
(r) "DisableRegistryTools" = "1"
(s) 尋找以下子鍵:
(t) HKEY_CURRENT_USER\Software\Policies\Micro soft\
(u) Internet Explorer\Control Panel
(v) 在登錄檔編輯器右欄刪除下值(value):
(w) "Homepage" = "1"
(x) 尋找以下子鍵:
(y) HKEY_CURRENT_USER\Software\Microsoft\Inter net Explorer\Main
(z) 在登錄檔編輯器右欄刪除下值(value):
(aa) "Window Title" = "Ay chet, o doi ai lai la`m the !"
(bb) 尋找以下子鍵:
(cc) HKEY_CURRENT_USER\Software\Microsoft\Inte rnet Explorer\Main
(dd) 在登錄檔編輯器右欄刪除下值(value):
(ee) "Start Page" = "[http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]"
(ff) 尋找以下子鍵:
(gg) HKEY_CURRENT_USER\Software\Yahoo\pager\Vi ew\YMSGR_buzz
(hh) 在登錄檔編輯器右欄刪除下值(value):
(ii) "content url" = "[http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]"
(jj) 尋找以下子鍵:
(kk) HKEY_CURRENT_USER\Software\Yahoo\pager\
(ll) Vie w\YMSGR_Launchcast
(mm) 在登錄檔編輯器右欄刪除下值(value):
(nn) "content url" = "[http://]66.98.138.31/~kfc/giaitri/thugia[REMOVED]"
(oo) 離開登錄檔編輯器
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-100910-3455-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組