TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]透過可移動式的媒介散佈的W32.Hitapop網路蠕蟲

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期日 三月 18, 2007 8:13 am    文章主題: [資通安全]透過可移動式的媒介散佈的W32.Hitapop網路蠕蟲 引言回覆

病毒型態:
蠕蟲
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
W32.Hitapop是一種網路蠕蟲,透過可移動式的媒介散佈,並且會嘗試降低系統的安全設定。
說明:
當W32.Hitapop執行時會有下列動作:
1. 新增下列檔案,並且設定為系統檔及隱藏檔案:
A. %System%\AlxRes[RANDOM DIGITS].exe - 蠕蟲的複製
B. %System%\scrsys[RANDOM DIGITS].scr -蠕蟲的複製
C. %System%\scrsys16_[RANDOM DIGITS].scr
D. %System%\winsys16_[RANDOM DIGITS].dll
E. %System%\winsys32_[RANDOM DIGITS].dll
F. %Windir%\winsys.ini - configuration file
NOTE:1. %Windir%是指向windows系統所在的資料夾。預設值是C:\Windows or C:\Winnt
2. %System%是指向系統的資料夾。預設值是C:\Windows (Windows 95/98/Me/XP) 或是C:\Winnt (Windows NT/2000)
3.根據消息指出,此蠕蟲已經出現新的變形,上述檔案名稱中的[RANDOM DIGITS]現在已經變成061129。
2.每次開機時,會在下列的登錄子機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中
新增下列的值:
"Userinit" = "C:\WINDOWS\System32\userinit.exe,rundll32.exe %System%\winsys16_[RANDOM DIGITS].dll start"
3.透過終止下列的行程(process ),嘗試使防毒軟體失去作用:KRegEx.exe
KVXP.kxp
4.嘗試把自己複製成下列的檔案:
D:\myplay.pif
5.當一個可移動的媒介驅動程式被安裝到受感染的電腦時,新增下列的檔案,其中包含啟動蠕蟲的指令:D:\autorun.inf
6.嘗試連結下列的URL:
www.ip321.cn
NOTE:目前這個URL已經不可使用
7.會出現彈出式的廣告
解決方案:
1. 關閉系統還原(對於Window Me/XP)
Window Me
A. 點選 開始\設定\控制面版
B. 滑鼠左鍵兩下點選執行系統(System)
C. 在效能頁面點選檔案系統
D. 勾選取消系統還原並按確定重新開機
Window XP
A. 按開始
B. 滑鼠右鍵選取我的電腦,點選內容
C. 尋找系統還原的頁面,取消系統還原
D. 點選套用
E. 電腦會提醒有關細節,點選確定
2. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克
趨勢科技
3. 執行全系統掃描
A. 執行防毒軟體,並設定為執行全系統掃描
B. 如果偵測到病毒,則採取防毒軟體所建議的步驟
[註]如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
4. 刪除登入項目的值:
A. 點選 開始\執行
B. 輸入 regedit
C. 點選 OK
NOTE:如果登錄編輯程式執行失敗,病毒可能把登錄編輯程式的路徑更改,Security Response有發展一套工具可以解決這個問題,請到下列網址: http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99下載並執行,即可繼續後面的步驟
D. 跳到下列的登錄子機碼(registry subkey) 並點選:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
E. 將右邊框中的值恢復成原預設值:

"Userinit" = "C:\WINDOWS\System32\userinit.exe,rundll32.exe %System%\winsys16_[RANDOM DIGITS].dll start"
改成
"Userinit" = "%System%\userinit.exe, "
F. 離開登錄編輯程式
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-120115-5706-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組