TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]透過特定弱點感染共享資料夾W32.Spybot.ANKH蠕蟲

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
shium
Site Admin


註冊時間: 2006-01-02
文章: 74

發表發表於: 星期六 三月 31, 2007 2:49 pm    文章主題: [資通安全]透過特定弱點感染共享資料夾W32.Spybot.ANKH蠕蟲 引言回覆

病毒型態:
網路蠕蟲
影響平台:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
概述:
W32.Spybot.ANKH為一蠕蟲,其透過特定弱點感染網路上之共享資料夾,或是感染密碼強度較弱的共享資料夾,並在受害主機上開啟後門。
說明:
當此病毒被執行時,會有以下的行為:
1.產生下列檔案,且屬性設定為隱藏及唯讀:
%System%\scrss.exe
註: %System%是指向系統資料夾的變數。預設值為:
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)

2.至下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
新增下列資訊:
"scrss" = "%System%\scrss.exe"
3.於下列登錄子機碼(registry subkey):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
修改下列資訊:
"%System%\scrss.exe" = "%System%\scrss.exe:*:Enabled:scrss"
4.開啟後門並透過TCP埠號(port)18715連結至IRC伺服器,使遠端攻擊者可執行下列行為:
• 複製或刪除檔案。
• 下載檔案並執行之,包含更新病毒本身。
• 顯示電腦狀態。
• 顯示IP位址。
• 掃瞄網路尋找有弱點之電腦。
• 掃瞄弱點。
• 產生與Cisco路由器之Telnet連線。
• 開啟ftpd。
• 終止程式。
• 停止安全相關程式。
• 列出程式清單。
• 使用網路監聽器(sniffer)。
5.利用下列弱點散播:
• The Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability
• The Microsoft ASN.1 Library Multiple Stack-Based Buffer Overflow vulnerabilities
• The Workstation Service Buffer Overrun vulnerability
• The IMail IMAP STATUS Remote Buffer Overflow Vulnerability
• The Cisco Router Web Setup (CRWS) Authentication Bypass Vulnerability
• Symantec Client Security and Symantec AntiVirus Elevation of Privilege
6.透過mIRC及網路上之共享檔案散播。
解決方案:
1.關閉系統還原功能 (Windows Me/XP)。
系統還原功能能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。系統還原功能也會記錄下病毒、蠕蟲或是木馬的感染。Windows 預防任何外部程式來修改系統還原功能,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統還原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統還原來回復受感染的檔案。
關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁:
關閉Windows Me還原功能
關閉Windows XP還原功能
2.更新防毒軟體的病毒定義檔 (若無防毒軟體請略過此步驟) 。
3.以安全模式或是命令提示列的安全模式重新啟動電腦。
4.使用防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
註:若是使用者電腦沒有安裝防毒軟體可以參考以下幾個線上免費掃毒網站:
http://www.kaspersky.com.tw/virusscanner/#
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
http://housecall.trendmicro.com/
5.刪除病毒產生之登錄項目(registry entry)。
註:強烈建議在修改登錄項目(registry entry)之前,先備份好登錄檔 (registry)。不正確地修改登錄檔(registry)或子機碼(subkey)將造成資料永久毀壞。關於如何備份登錄檔(registry),可參考下列連結:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam
a.點選開始(Start)迳執行(Run)。
b.輸入regedit。
c.點擊ok。
(注意:如果登錄檔編輯器(registry editor)不能執行,可能原因為病
毒修改登錄檔存取限制。可參考下列連結解決:
http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html
d.至下列子機碼(subkey):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
刪除下列資訊:
"scrss" = "%System%\scrss.exe"
e.至下列子機碼(subkey):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
刪除下列資訊:
"%System%\scrss.exe" = "%System%\scrss.exe:*:Enabled:scrss"
f.離開登錄檔編輯器(registry editor)。
參考資料:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-010812-2618-99
資料來源:賽門鐵克公司
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組