TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]改變Internet Explorer的首頁、降低效能的木馬

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期二 三月 13, 2007 10:55 am    文章主題: [資通安全]改變Internet Explorer的首頁、降低效能的木馬 引言回覆

病毒型態:
木馬/後門
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
Trojan.StartPage.R是一種木馬程式,嘗試改變Internet Explorer的首頁、降低效能以及相關的登錄碼。
說明:
Trojan.StartPage.R是一種木馬程式,嘗試改變Internet Explorer的首頁、降低效能以及相關的登錄碼
當Trojan.StartPage.R執行時會有下列動作:
1. 新增下列檔案:
%Windir%\services.exe
%System%\netstart.exe
%System%\regshell.exe
%System%\winpub.reg
NOTE:1. %Windir%是指向windows系統所在的資料夾。預設值是C:\Windows or C:\Winnt
2. %System%是指向系統的資料夾。預設值是
C:\Windows (Windows 95/98/Me/XP) or
C:\Winnt (Windows NT/2000)
2.改變下列登錄子機碼以便讓windows系統重開機時,會啟動此木馬程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}
3.為%System%\netstart.exe.開啟一個服務
4.在上述的服務中新增一個登錄子機碼:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remss_Ser
5.在下列的登錄子機碼:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中
修改下列的值:
"Local Page" = "[http://]vod.mmdy.org/[REMOVED]"
"Start Page" = "[http://]vod.mmdy.org/[REMOVED]"
"Search Page" = "[http://]vod.mmdy.org/[REMOVED]"
6..在下列的登錄子機碼:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中
修改下列的值:
"HomePage" = "1"
"Settings" = "1"
"Links" = "1"
"SecAddSites" = "1"
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
解決方案:
1. 取消系統還原(對於Window Me/XP)
Window Me
(a) 點選 開始\設定\控制面版
(b) 滑鼠左鍵兩下點選執行系統(System)
(c) 在效能頁面點選檔案系統
(d) 勾選取消系統還原並按確定重新開機
Window XP
(a) 按開始
(b) 滑鼠右鍵選取我的電腦,點選內容
(c) 尋找系統還原的頁面,取消系統還原
(d) 點選套用
(e) 電腦會提醒有關細節,點選確定
2. 更新病毒定義檔
至所使用防毒軟體之公司網站下載最新的病毒定義檔
賽門鐵克:http://securityresponse.symantec.com/avcenter/defs.download.html
趨勢科技:
http://www.trendmicro.com/download/zh-tw/
3. 執行全系統掃描
(a) 執行防毒軟體,並設定為執行全系統掃描
(b) 如果偵測到病毒,則採取防毒軟體所建議的步驟
[註]如果沒有防毒軟體,可以到以下網站線上掃毒:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
4. 刪除登入項目的值:
A. 點選 開始\執行
B. 輸入 regedit
C. 點選 OK
NOTE:如果登錄編輯程式執行失敗,病毒可能把登錄編輯程式的路徑更改,Security Response有發展一套工具可以解決這個問題,請到下列網址:http: //www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99 下載並執行,即可繼續後面的步驟
D. 跳到下列的登錄子機碼(registry subkey) 並點選:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}
E. 如果知道右邊框中預設值的話請恢復
F. 跳到下列的登錄子機碼(registry subkey) 並刪除:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remss_Ser
G. 跳到下列的登錄子機碼(registry subkey) 並點選:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
H. 將右邊框出現的符合下列字串的值恢復成預設值:
"Local Page" = "[http://]vod.mmdy.org/[REMOVED]"
"Start Page" = "[http://]vod.mmdy.org/[REMOVED]"
"Search Page" = "[http://]vod.mmdy.org/[REMOVED]"

I. 跳到下列的登錄子機碼(registry subkey) 並點選:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
J. 將右邊框的值恢復成預設:
"DisableRegistryTools" = "1"
K. 跳到下列的登錄子機碼(registry subkey) 並點選:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
L. 將右邊框的值恢復成預設:
"HomePage" = "1"
"Settings" = "1"
"Links" = "1"
"SecAddSites" = "1"
M. 離開登錄編輯程式
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-111012-1006-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組