TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]執行遠端的程式的Trojan.Schoeberl.D特洛依木馬病毒

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期六 九月 23, 2006 10:29 am    文章主題: [資通安全]執行遠端的程式的Trojan.Schoeberl.D特洛依木馬病毒 引言回覆

病毒型態:
特洛依木馬
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
概述:
Trojan.Schoeberl.D是一隻特洛依木馬程式,會在被感染的電腦下載並執行遠端的程式。
說明:
Trojan.Schoeberl.D是一隻特洛依木馬程式,會在被感染的電腦下載並執行遠端的程式。當病毒被執行後,會有以下步驟:
1. 病毒本身複製一份至底下檔案:
2. %System%\ipf.exe
3. 註:%System%\為系統資料夾,預設值為:
4. C:\Windows\System (Windows 95/98/Me)、
5. C:\Winnt\System32 (Windows NT/2000)或是
6. C:\Windows\System32 (Windows XP)。
7. 在登錄資料庫內新增一登錄資訊:
8. ifp ="[PATH TO THE TROJAN FILE]
9. 至以下子鍵(subkey):
10. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
11. CurrentVersion\Run
12. 在登錄資料庫內新增一登錄資訊:
13. "windowsshell" = "1"
14. 至以下子鍵(subkey):
15. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
16. 試圖從以下連結下載一加密後的文字檔:
17. [http://]iondrive.com/images/log[REMOVED]
18. [http://]www.lynnehassell.com/video/avi[REMOVED]
19. [http://]haglerstudios.com/banner/log[REMOVED]
20. [http://]www.goofyracing.com/public_html/slidet/
21. kiti99tarjouspyynnot1_files/fil[REMOVED]
22. [http://]eji.kiev.ua/v1[REMOVED]
23. [http://]warm.kiev.ua/hist[REMOVED]
24. [http://]theblogsolution.com/success/ind[REMOVED]
25. [http://]sbest.de/deutsch/bon[REMOVED]
26. [http://]66.235.203.21/~academic/img/hor[REMOVED]
27. 將下載的檔案存為:
28. %System%\drivers\winut.dat
29. 此檔可能內含一 URLs 的列表,列表來源為:
30. [http://]66.235.203.21/~academic/img/hor[REMOVED]
31. [http://]cyhe.ch/img/content/101[REMOVED]
32. 連接至上述 URLs 並企圖下載及執行其他檔案。
解決方案:
1. 取消系統還原(對於Window Me/XP)
Window Me
(a) 點選 開始\設定\控制面版
(b) 滑鼠左鍵兩下點選執行系統(System)
(c) 在效能頁面點選檔案系統
(d) 勾選取消系統還原並按確定重新開機
Window XP
(a) 按開始
(b) 滑鼠右鍵選取我的電腦,點選內容
(c) 尋找系統還原的頁面,取消系統還原
(d) 點選套用
(e) 電腦會提醒有關細節,點選確定
2. 刪除病毒額外加進hosts檔案的資訊
a.跳到下列的位置:
Windows 95/98/Me:
%Windir%
Windows NT/2000/XP:
%Windir%\System32\drivers\etc
註:1. hosts檔案的路徑可能被改變或是某些電腦並沒有這個檔案,或是該檔案可能會被複製到其他路徑。如果該路徑底下找不到,請在你的硬碟上搜尋該檔名,並繼續進行下面的動作。
2. %Windir%是一個參考安裝檔案夾的變數。預設值是:C:\Windows (Windows 95/98/Me/XP) C:\Winnt (Windows NT/2000)
b.點選hosts的檔案
c.如果必要,把”永遠用選取的程式來開啟這種檔案”取消掉
d.選擇用Notepad開啟
e.開啟之後,刪除病毒所新增的資訊,也就是病毒說明的第12點所新增的資訊
f. 關閉Notepad並儲存變更
3. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克:http://securityresponse.symantec.com/avcenter/defs.download.html
趨勢科技:http://www.trendmicro.com/download/zh-tw/
4. 執行全系統掃描
(a) 執行防毒軟體,並設定為執行全系統掃描
(b) 如果偵測到病毒,則採取防毒軟體所建議的步驟
註:如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
5. 刪除登入檔內的值(value):
(a) 滑鼠左鍵點選 開始\執行
(b) 鍵入 regedit
(c) 滑鼠左鍵點選「確定」
(d) 尋找以下子鍵:
(e) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
(f) CurrentVersion\Run
(g) 在登錄檔編輯器右欄刪除下值(value):
(h) "ifp" = "[PATH TO THE TROJAN FILE]"
(i) 尋找以下子鍵:
(j) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
(k) CurrentVersion
(l) 在登錄檔編輯器右欄刪除下值(value):
(m) "windowsshell" = "1"
(n) 離開登錄檔編輯器
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-090512-5620-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組