TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]散發大量郵件的蠕蟲-W32.Mixor.C@mm

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期一 三月 12, 2007 3:42 pm    文章主題: [資通安全]散發大量郵件的蠕蟲-W32.Mixor.C@mm 引言回覆

病毒型態:
網路蠕蟲
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
W32.Mixor.C@mm為一散發大量郵件的蠕蟲(mass-mailing worm),感染.exe、.scr檔。被感染的檔案會被防毒軟體偵測名稱為W32.Mixor!Inf,也會執行病毒Trojan.Galapopper.A。
說明:
W32.Mixor.C@mm為一散發大量郵件的蠕蟲(mass-mailing worm),感染.exe、.scr檔。被感染的檔案會被防毒軟體偵測名稱為W32.Mixor!Inf,也會執行病毒Trojan.Galapopper.A。
當此病毒被執行時,詳細過程如下:
1. 將病毒本身複製到下列檔案:
%System%\wservice.exe
(註:%System%預設為C:\Windows\System (Windows 95/98/Me),
或 C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP))
2. 將病毒本身複製到本地磁碟所有資料夾中,並以下列名稱對應至網路磁碟:
[8個隨機單字].t (病毒的複製)
3.感染.exe及.scr檔案,該檔案為病毒W32.Mixor!Inf的複製。
4.於本地磁碟將自身加入.rar檔中,並以下列名稱對應至網路磁碟:
[7個隨機單字].exe (病毒的複製)
5.產生下列檔案:
%CurrentFolder%\[7個隨機單字].exe (Trojan.Galapopper.A的複製)
6.於下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
新增下列資訊:
"UpdateService" = "%System%\wservice.exe..."
7.於下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
新增下列資訊:
"Start" = "4"
8.於下列登錄子機碼(registry subkey),從系統通訊錄(Windows Address
Book)收集電子郵件位址:
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name
9.送出郵件至受害主機的通訊錄郵件位址,郵件有下列特性:
主題:
下列其中之一:
White house news!
URG
ATTN TO EVERYBODY!
READ AND RESEND ASAP!
Incredible news!
NEWS!
ATTN
URGENT NEWS!

郵件本文:
下列其中之一:
3rd Glogal War Just Started!!! Read more in file!
Putin and Bush starts NUCLEAR WAR! Check the file!
GLOBAL NUCLEAR WAR JUST STARTED! News in file.
Nuclear War in Russia! Read news in file!
Nuclear WAR in USA! Read attached file!
President Putin dead! Read more in attached file!
President Bush DEAD! Read attached file!

附件:
下列其中之一:
open.exe
truth.exe
war.exe
last.exe
about me.exe
a.exe
never.exe
latest news.exe
read me.exe
10.關閉安全相關程式:
mcafee
taskmgr
hijack
f-pro
lockdown
msconfig
firewall
blackice
avg
vsmon
zonea
spybot
nod32
reged
rav
nav
avp
troja
viru
anti
解決方案:
1.清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄下。 Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
2.更新防毒軟體的病毒定義檔 (若無防毒軟體請略過此步驟) 。
3.以安全模式或是命令提示列的安全模式重新啟動電腦。
4.使用防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
[註]若是使用者電腦沒有安裝防毒軟體可以參考以下幾個線上免費掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
5.刪除病毒產生之登錄項目(registry entry)。
(注意:強烈建議在修改登錄項目(registry entry)之前,先備份好登錄檔
(registry)。不正確地修改登錄檔(registry)或子機碼(subkey)將造成資料永
久毀壞。關於如何備份登錄檔(registry),可參考下列連結:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam
a.點選開始(Start)迳執行(Run)。
b.輸入regedit。
c.點擊ok。
(注意:如果登錄檔編輯器(registry editor)不能執行,可能原因為病
毒修改登錄檔存取限制。可參考下列連結解決:
http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html )
d.至下列子機碼(subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
刪除下列資訊:
"UpdateService" = "%System%\wservice.exe..."
e.至下列子機碼(subkey):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
刪除下列資訊:
"Start" = "4"
f.離開登錄檔編輯器(registry editor)。
6.啟動SharedAccess服務(Windows 2000/XP):
於Windows系統下,SharedAccess服務用於維持網際網路連線分享(Internet Connection Sharing)以及網際網路連線防火牆(Internet Connection Firewall)。(不同作業系統有不同名稱)

Windows XP Service Pack 2
當SharedAccess停止服務時,作業系統將顯示警告。下列步驟可恢復該服務:
a.點選開始(Start)->控制台(Control Panel)。
b.點選資訊安全中心(Security Center)。
c.確保防火牆(Firewall)為開啟狀態。(如果為開啟狀態可略過下列步驟)
d.於”建議事項(Recommendations)”點選開啟(Enable Now)。完成後離開
選單。

Windows 2000或Windows XP Service Pack 1或更早版本
a.點選開始(Start)->執行(Run)。
b.輸入services.msc,點選ok。
c.下列選項擇一而行。
Windows2000:找出"Internet Connection Sharing (ICS)"並點選之。
WindowsXP:找出"Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)"並點選之。
d.”開啟類型(Startup Type):”下點選”自動化(Automatic)”。
e.”服務狀態(Service Status):”下點選”開啟(Start)”。
f.完成後,點選ok離開選單。
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-103115-0022-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組