TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]透過受害主機傳送垃圾郵件的木馬程式-Trojan.SpamThru

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期六 三月 17, 2007 9:09 am    文章主題: [資通安全]透過受害主機傳送垃圾郵件的木馬程式-Trojan.SpamThru 引言回覆

病毒型態:
木馬/後門
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
Trojan.SpamThru為一木馬程式,透過受害主機傳送垃圾郵件。
說明:
Trojan.SpamThru為一木馬程式,透過受害主機傳送垃圾郵件。
當此病毒被執行時,詳細過程如下:
1.產生下列檔案:
%System%\[RANDOM NAME].dll
(注意:%System%預設為C:\Windows\System (Windows 95/98/Me),
或 C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP))
2.於下列登錄子機碼(registry subkey):
HKEY_CLASSES_ROOT\CLSID\(2C1CD3D7-86AC-4068-93BC-A02304BB8C34)\InProcServer32
新增下列資訊:
"(default)" = "[PATH TO TROJAN]"
3.於下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
新增下列資訊:
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}" = "DCOM Server 2240"
4.於下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
新增下列資訊:
"DCOM Server 2240" = "{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"
5.連結下列網址:
65.19.154.71
6.透過受害主機傳送垃圾郵件。
7.重寫受害主機之主機檔(hosts file),避免主機連結安全相關網站及防毒網站,或是防止防毒軟體之自動化更新。
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 www.f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
解決方案:
1.清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄下。 Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam
2.移除所有寫入主機檔(hosts file)之記錄(entry):
a.至下列位置:
Windows 95/98/Me:
%Windir%
Windows NT/2000/XP:
%Windir%\System32\drivers\etc
(注意:上述位置依電腦不同會有所出入,或是有些電腦不存在該資料夾。如果上述提供之位置無法找到該資料夾,請自行至硬碟找尋,並完成下列步驟。
%Windir%預設為C:\Windows (Windows 95/98/Me/XP)
或 C:\Winnt (Windows NT/2000))
b.雙擊滑鼠點選”hosts”檔案。
c.必要的話,取消”永遠用選取的程式來開啟這種檔案(Always use this program to open this program)”。
d.選擇以”Notepad”來開啟檔案。
e.開啟後,刪除所有病毒寫入之記錄。
f.關閉”Notepad”並儲存檔案。
3.更新防毒軟體的病毒定義檔 (若無防毒軟體請略過此步驟) 。
4.以安全模式或是命令提示列的安全模式重新啟動電腦。
5.使用防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
[注意]若是使用者電腦沒有安裝防毒軟體可以參考以下幾個線上免費掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
6.刪除病毒產生之登錄項目(registry entry)。
(注意:強烈建議在修改登錄項目(registry entry)之前,先備份好登錄檔
(registry)。不正確地修改登錄檔(registry)或子機碼(subkey)將造成資料永
久毀壞。關於如何備份登錄檔(registry),可參考下列連結:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam
a.點選開始(Start)迳執行(Run)。
b.輸入regedit。
c.點擊ok。
(注意:如果登錄檔編輯器(registry editor)不能執行,可能原因為病
毒修改登錄檔存取限制。可參考下列連結解決:
http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html )
d.至下列子機碼(subkey):
HKEY_CLASSES_ROOT\CLSID\(2C1CD3D7-86AC-4068-93BC-A02304BB8C3 4)\InProcServer32
刪除下列資訊:
"(default)" = "[PATH TO TROJAN]"
e.至下列子機碼(subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
刪除下列資訊:
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}" = "DCOM Server 2240"
f.至下列子機碼(subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
刪除下列資訊:
"DCOM Server 2240" = "{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"
g.離開登錄檔編輯器(registry editor)。
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-111716-3107-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組