TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]感染可執行檔及降低電腦的安全設定之蠕蟲病毒

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期五 十月 20, 2006 8:30 am    文章主題: [資通安全]感染可執行檔及降低電腦的安全設定之蠕蟲病毒 引言回覆

病毒型態:
網路蠕蟲
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP。
概述:
W32.Looked.AO是一種網路傳播蠕蟲(network-aware worm),會藉由本機裝置及網路分享的方式感染所有可執行檔案,該蠕蟲會降低電腦的安全設定並且下載檔案。
說明:
W32.Looked.AO是一種網路傳播蠕蟲(network-aware worm),會藉由本機裝置及網路分享的方式感染所有可執行檔案,該蠕蟲會降低電腦的安全設定並且下載檔案。
當W32.Looked.AO執行時會有下列動作:
1. 把自己複製成下列檔案:
A. %Windir%\rundl132.exe
B. %Windir%\Logo1_.exe
註: %Windir%是一個參考安裝檔案夾的變數。預設值是:C:\Windows (Windows 95/98/Me/XP) C:\Winnt (Windows NT/2000)
2.產生下列檔案(也就是Downloader):
%Windir%\Dll.dll
3.新增下列檔案:
A. C:\1.txt
B. %Windir%\0Sy.exe
C. %UserProfile%\Local Settings\Temp\$$a5.bat
D. %UserProfile%\Local Settings\Temp\$$ab.bat
註: % UserProfile %可以隨著使用者改變所參考的檔案夾。預設值是:C:\Documents and Settings\[CURRENT USER] (Windows NT/2000/XP).
4..在下列的登錄子機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW中
尋找下面的值:"auto" = "1" ,若找到該值便離開編輯程式
5.在下列的登錄子機碼:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows中
.尋找下面的值:"ver_down0" = "[DOWNLOADED TEXT]" ,若找到該值便離開編輯程式
註:DOWNLOADED TEXT是一個從[http://]www.charyty.com.tw/to[REMOVED] 下載的文字文件
6. 若第四步驟或第五步驟,任何一個值不存在於搜尋的登錄子機碼中,則新增該值
7. 每次開機的時候在下列的登錄子機碼:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows中
新增下面的值:"load" = "%Windir%\rundl132.exe"
8.結束下面的行程(process),其中某些行程(process)與安全相關:
A. RavMon.exe
B. EGHOST.EXE
C. MAILMON.EXE
D. KAVPFW.EXE
E. IPARMOR.EXE
F. Ravmond.EXE
G. regsvc.exe
H. RavMon.exe
I. mcshield.exe
9.停止下列的服務:
Kingsoft AntiVirus Service
10.把蠕蟲本身的Dll.dll加入iexplorer.exe或 explorer.exe中
11.從下列位址中下載檔案:
A. [http://]www.charyty.com.tw/tools/04[REMOVED]
B. [http://]www.charyty.com.tw/tools/05[REMOVED]
C. [http://]www.charyty.com.tw/tools/06[REMOVED]
D. [http://]www.charyty.com.tw/tools/07[REMOVED]
E. [http://]www.charyty.com.tw/tools/tt1[REMOVED]
F. [http://]www.charyty.com.tw/tools/yp[REMOVED]
G. [http://]www.charyty.com.tw/tools/thot[REMOVED]
註:現在上述的URL都已經不能用,不過這些URL之前都被回報含有惡意程式
12.把下載的檔案儲存於%Windir%\0Sy.exe
13.搜尋所有在本主機中C磁碟機到Y磁碟機中副檔名為.exe的檔案,複製自己的程式碼到搜尋到的.exe檔案的程式碼中
14.搜尋網路上分享的可執行的檔案,同時,隨著訊息"Hello,World"送出一個ICMP封包
15.感染網路上副檔名為.exe並且檔案大小小於16,777,216 Bytes.的檔案
16.新增file _desktop.ini至搜尋到有可執行檔的檔案夾裡,該檔案具有隱密性和system attributes sets和儲存蠕蟲執行過的檔案資料
17.避免感染下列名稱的檔案夾:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Windows NT
WindowsUpdate
ComPlus Application
NetMeeting
Common Files
Messenger
InstallShield Installation Information
Microsoft FrontPage
Movie Maker
MSN Gaming Zone
18.先將音量設定為靜音,然後蠕蟲會找到AVP.AlertDialog,點選顯示為允許或是跳過的按鈕,再把音量設為原設定值。如此便會造成安全警告的訊息會被忽略而不顯示,也不會聽到警示聲
解決方案:
1. 取消系統還原(對於Window Me/XP)
Window Me
(a) 點選 開始\設定\控制面版
(b) 滑鼠左鍵兩下點選執行系統(System)
(c) 在效能頁面點選檔案系統
(d) 勾選取消系統還原並按確定重新開機
Window XP
(a) 按開始
(b) 滑鼠右鍵選取我的電腦,點選內容
(c) 尋找系統還原的頁面,取消系統還原
(d) 點選套用
(e) 電腦會提醒有關細節,點選確定
2. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克:http://securityresponse.symantec.com/avcenter/defs.download.html
趨勢科技:http://www.trendmicro.com/download/zh-tw/
3. 執行全系統掃描
(a) 執行防毒軟體,並設定為執行全系統掃描
(b) 如果偵測到病毒,則採取防毒軟體所建議的步驟
[註]如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
4. 刪除登錄項目的值:
Important:強烈建議使用者備份登錄項目的值,因為不正確的更改可能會造成檔案的毀損或遺失,請根據步 驟來更改正確的登錄項目的值,並可參考下列網頁學習如何備份登錄項目: http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam
A. 點選 開始\執行
B. 輸入 regedit
C. 點選 OK
NOTE:如果登錄編輯程式執行失敗,病毒可能把登錄編輯程式的路徑更改,Security Response有發展一套工具可以解決這個問題,請到下列網址:http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99下載並執行,即可繼續後面的步驟
D. 跳到下列的登錄子機碼(registry subkey) 並點選:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
E. 刪除右邊框出現的符合下列字串的值:
"load" = "%Windir%\rundl132.exe"
F. 跳到下列的登錄子機碼(registry subkey)並點選: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
G. 刪除右邊框出現的符合下列字串的值:
"ver_down0" = "[DOWNLOADED TEXT]"
H. 跳到下列的登錄子機碼(registry subkey) 並點選:
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
I. 刪除右邊框出現的符合下列字串的值:
"auto" = "1"
J. 離開登錄編輯程式
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-100315-5658-99
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組