TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]監視Internet Explorer以竊取密碼及銀行帳號

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期二 三月 20, 2007 11:39 am    文章主題: [資通安全]監視Internet Explorer以竊取密碼及銀行帳號 引言回覆

病毒型態:
木馬/後門
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
Trojan.Goldun.L為一木馬程式,監視Internet Explorer以竊取密碼及銀行帳號等資訊,並將取得資訊傳送至遠端網站。
說明:
當此病毒被執行時,詳細過程如下:
1.產生下列檔案:
%System%\trj6.tmp
%UserProfile%\Local Settings\Temp\[RANDOM NUMBER].tmp
%UserProfile%\Local Settings\Temp\[RANDOM NUMBER].tmp
(注意:A.%System%預設為C:\Windows\System (Windows 95/98/Me),
或 C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)
B.%UserProfile%預設為C:\Documents and Settings\[目前使用者名稱] (Windows NT/2000/XP)
C.該病毒會產生許多%UserProfile%\Local Settings\Temp\[RANDOM NUMBER].tmp檔案以儲存原始檔案資料。)
2.刪除下列檔案:
%System%\msvcrl.dll
%System%\sfc_os.dll
3.產生無執行能力之%System%\sfc_os.dll取代原始檔案,關閉Windows檔案保護功能:
%System%\sfc_os.dll
4.將原始檔案儲存成下列檔案:
%UserProfile%\Local Settings\Temp\[隨機數字].tmp
5.修改下列檔案,以確保每次開啟IE時,該病毒都將被執行:
%ProgramFiles%\Internet Explorer\iexplore.exe
(注意:該檔案將被偵測為病毒Trojan.Goldun.L!inf)
6.儲存未受感染之檔案至下列位置:
%UserProfile%\Local Settings\Temp\[RANDOM NUMBER].tmp
7.連結至下列網站以更新病毒本身:
www.antiddos.us\[REMOVED]
8.監視Internet Explorer以獲取密碼資訊及銀行帳號。
9.將取得之資訊傳送至下列連結:
www.antiddos.us\[REMOVED]
解決方案:
1.清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄下。 Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原
清除Windows XP系統復原
2.更新防毒軟體的病毒定義檔 (若無防毒軟體請略過此步驟) 。
3.以安全模式或是命令提示列的安全模式重新啟動電腦。
4.使用防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
[注意]若是使用者電腦沒有安裝防毒軟體可以參考以下幾個線上免費掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-120810-5747-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組