廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 14612 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 攻擊分享資料夾內所有 EXE 檔案的新病毒
攻擊分享資料夾內所有 EXE 檔案的新病毒

【轉貼網址】   http://www.ettoday.com/200...1996697.htm

最近在國內網路流竄的一隻名為W32.Looked病蟲,這雙雖是去年就已經被偵測出來,但這次發作的是新的變種W32.Looked.P,防毒公司賽門鐵克將這隻病蟲危害指數訂為2級(5級為最危險)。W32. Looked.P為一隻透過網路分享進行擴散感染的病蟲,並會搜尋受感染電腦內的.exe 執行檔,感染從C到Y槽所有硬碟,它亦企圖降低安全等級設定並且下載並執行遠端程式,屬於模組化惡意程式的攻擊型態。

賽門鐵克建議防範這類透過網路分享檔案或網路芳鄰感染擴散的病蟲,除了防毒外,更重要的是需要加裝雙向個人防火牆及入侵偵測功能,交叉運作才能有效加以攔阻防範。

微軟都是固定每月10日公布漏洞,這次緊急發布,令人懷疑這個漏洞的危險,不過目前尚有有重大災情傳出。

台灣微軟發佈1個Windows重大的安全性補充程式安裝編號MS06-055以及一個重新發行的更新程式安裝編號MS06-049。這些補充程式是解決Microsoft Windows XP SP1、Microsoft Windows XP SP2、Microsoft Windows Server 2003 SP1、Windows 2000 SP4等產品弱點,避免導致遠端程式碼的執行、權限提高等問題。

Microsoft Windows XP SP1、Microsoft Windows XP SP2、Microsoft Windows Server 2003 SP1 、Windows 2000 SP4 的產品弱點,會造成有心人士藉由此弱點執行遠端程式碼。

MS06-055的更新是修補向量標記語言中的弱點可能會允許遠端執行程式碼,包括Microsoft Windows XP Service Pack 1、 Microsoft Windows XP Service Pack 2、Microsoft Windows XP Professional x64 Edition等系統都受影響。

MS06-049則是修補Windows 核心中的弱點可能導致權限提高,但是,Microsoft Windows XP Service Pack 1 、Microsoft Windows XP Service Pack 2都不受影響,僅僅是Microsoft Windows 2000 Service Pack 4用戶才需要下載。

修補程式會透過自動更新下載與安裝,使用者也可以到

MS06-055 向量標記語言中的弱點可能會允許遠端執行程式碼 (925486)
MS06-049 核心中的弱點可能導致權限提高 (920958)
自行下載。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-10-02 11:53 |
twn920
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

如何清除這個病毒
不用重灌電腦或是刪除exe


獻花 x0 回到頂端 [1 樓] From:台灣台灣索尼 | Posted:2006-11-15 21:05 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用twn920於2006-11-15 21:05發表的 :
如何清除這個病毒
不用重灌電腦或是刪除exe
我有遇到一隻病毒 也是專門感染 電腦內全部硬碟的 .exe 檔
但靠卡巴就能解毒 但是有幾個檔案 是無法解毒的 只能刪除
可能與該檔案的結構有關


爸爸 你一路好走
獻花 x0 回到頂端 [2 樓] From:台灣 | Posted:2006-11-15 21:08 |
良牙 手機
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x26
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這隻毒我中過二次....
中毒的電腦系統是用 2000server ... 使用 norton企業版 10.0.1.xxxx忘了 加 卡巴anti-hacker 1.7.129
一次是9月中...一次是10月31日....
中毒時 被scan過的目錄都會增加一個 _desktop.ini
9月中的版本會在啟動加一個 desktop.ini ...
第一次是防毒軟體沒即時更新(設定點更新..時間差就被...)
第二次是norton企業版 10.0.1.xxxx被攻破(防不了..被病毒破壞)..後來改 10.1.5.5000

如果中該毒..沒馬上發現的話...就建議系統重灌...
中毒發作時...會修改所有的 .exe 檔 (檔案過大的.exe檔除外) 到時c槽所有的程式.exe都中毒..救也沒用
重灌好系統後..再去救其他槽...通常中標的檔案都沒法子救...想救的可以用卡巴試試...

中該毒很麻煩...所以要預防在先...
有二個大方向可能會中..
一是自已去抓到有毒..並且給它點下去...
二是透過網路分享方式入侵...
以下是預防透過網路分享方式入侵...
網卡設定的 "File and Printer Sharing fot Microsoft Networks" 不要打勾
如果必須分享..分享權限最好只勾讀取
到 cmd 模式 打 net share 看看有那些分享... 都關掉.. 打 net share 分享名 /d
如果有 c$ d$ admin$ ipc$ 都要關掉 ex: net share c$ /d (XP 用此方式關不掉 ipc$)
另外..請將 445 及 139 port 關閉 (沒開分享時)


[ 此文章被良牙在2006-11-16 10:39重新編輯 ]



獻花 x0 回到頂端 [3 樓] From:台灣中華電信 | Posted:2006-11-16 10:33 |
uozid999
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x22
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

我的電腦也是開EXE檔就會有問題...
不過都可以開...開以後執行任何動作此程式就會當機
可是我開MSN都可以正常聊天...
可是我不懂你的解毒方法...
就是第2點的改變EXE的關聯那個部份@@
可以說詳細依點嗎?
我用過之後 卡巴也是掃到1%就停住了@@


獻花 x0 回到頂端 [4 樓] From:台灣教育部 | Posted:2006-11-17 13:12 |
良牙 手機
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x26
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

剛剛去查了一下記錄 10/31 中的毒(中毒的電腦是網咖的gameserver)
是 威金VIKING 的變種病毒(DEKTOP.INI的變種系列)
順便po它的相關資訊

中毒時會run的檔名 rundl132.exe,logo_1.exe,~.exe

手工清除病毒,註冊表之後,被感染的EXE文件依然無法清除。一旦運行被感染的exe文件,病毒再次發作。網上流傳的建立假病毒文件設為系統屬性免疫方法無效,殺毒軟件,專殺工具更無效。(除非你殺完毒,刪除你硬盤上的所有小於10M的exe 文件)

徹底解決方式,運行windows的自動更新,安裝2006年9月17日的更新補丁:windows xp KB917537安全更新。所有問題徹底解決。

Windows 2000:
http://download.microsoft.com/download/f/c/7/fc71d0c6-9346-...ws2000-KB917537-x86-CHS.EXE

Windows XP:
http://download.microsoft.com/download/6/2/2/62259943-9b98...dowsXP-KB917537-x86-CHS.exe

症狀:
註冊表加載 windows\rundl132.exe, 刪除後自動恢復.
進程中有logo_1.exe
執行EXE文件時,自動生成~exe文件,比如安裝setup.exe時,自動複製setup~.exe文件.
圖標變大變灰。

該毒最大的「優點」就是會自動查找你硬盤上的一些EXE文件(好像是隨機的)附加。(這種worm類病毒曾在DOS下是很讓人頭疼的事,曾是一個dir就感染了整個目錄。)這樣一來,即使你清掉內存中的病毒也於事無補,因為你總要運行電腦上的exe文件。

清除內存和病毒生成的文件後,又觀察了病毒的運行結果,發現病毒是在windows目錄下生成vdll.dll,logo1_.exe,rundl132.exe這三個文件。

又經過實驗,vdll.dll注入exeplorer.exe是由logo1_.exe來完成。病毒會在開機自動執行中加入rundl132.exe

病毒也是程序,只要不給它執行的空間,它就很乖了。

WINDOWS對內存中的程序文件都有保護機制,利用這個特點,可以搶在病毒之前,先執行兩個你開機必執行的程序,這樣病毒就無法產下自己的孩子了。

一、清除病毒文件和內存中的vdll.dll。
二、保證開機只運行必要的幾個進程。
三、無敵小鬧鐘改名為logo1_.exe放在windows目錄下,並立刻執行,然後在註冊表中加入開機執行它。
四、把windows\system32下的ctfmon.exe,複製到windows目錄下,並改名為rundl132.exe,並立即執行。

大功告成!!!病毒的兩個孩子名字logo1_.exe,rundl132.exe由於被你搶先佔用了,它們只好死好娘肚子裡,哇哈哈哈。(是不是太殘忍,如果你不忍心,就讓它們出來吧)

這病毒會讓你的某些EXE不能正常運行,如果某個軟件不能正常運行,你重新安裝就是了,病毒再沒有機會發作了

-----------------------------------------------------------------------------------------------------------------------------------------
W32.Looked

該病毒臨床症狀:
1.感染所有的EXE文件
2.W32.Looked.I 蠕蟲,執行後會在系統生成:%Windir%
  undl132.exe, %CurrentFolder%vDll.dll 等病毒文件; 並在註冊表添加系統服務隨系統啟動,試圖終止安全相關的程序,終止系統重要進程,注入自身到DLL組件,vdll.dll到iexplore.exe,explore.exe,全盤搜索.exe文件,並注入自身到這些文件,無法清除, 使系統文件全部都染病毒
3.中止大部分的殺毒軟件進程,諾頓可以隔離。但是結果是EXE文件全部執行不了
4.在共享的打印機上不停的打印,內容為當天日期
5.在C:\winnt 或是 windows生成Logo1_.exe , rundl132.exe,bootconf.exe幾個文件,感染應用程序的速度非常快,只要你一用到某個應用程序,馬上就會被感染,並且Logo1_.exe 會變成此應用程序的圖標.
6.在局域網內部中傳播相當快,能通過信使傳播,但已禁用信使的電腦也能被感染,不知道它有多少傳播途徑.
7.被感染的機子很難清除乾淨,在某些電腦上的每一個文件夾還會有一個 _desktop 的記事本文件,內容為當前日期

病毒特性:
Win32.Looked.S是一種通過網絡共享感染文件的蠕蟲。它是大小為27,075字節,以Upack格式壓縮的Win32可運行程序。它生成一個23,040字節的DLL文件,用來下載並運行二進制運行程序。

感染方式:
運行時,Win32.Looked.S使用以下文件名複製到%Windows%目錄:
rundl132.exe Logo1_.exe

註:%Windows%是一個可變路徑。病毒通過查詢操作系統來決定當前Windows文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me中默認的安裝路徑是C:\Windows,windowsXP中默認的安裝路徑是C:\Windows。
它還會修改註冊表,為了在每次系統啟動時運行"rundl123.exe"文件:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\rundl132.exe"隨後,蠕蟲在當前目錄生成一個DLL文件"vDll.dll"。它會注入Explorer程序,並被用來下載和在Explorer程序中啟動程序。
蠕蟲還會生成"SemaphoreMe",以確保每次只有一個副本運行。

傳播方式 :
通過感染文件傳播
Looked.S在硬盤的z:/ 到 c:/ 驅動器循環搜索。它從本地根目錄開始,感染擴展名為.exe的文件。蠕蟲預謀自己到目標文件,並將文件大小增長到27,075字節。蠕蟲不感染超過10,485,760字節的文件,或者帶有以下名稱的子文件夾中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
Winnt
\Program Files\Windows NT
\Program Files\WindowsUpdate
\Program Files\Windows Media Player
\Program Files\Outlook Express
\Program Files\Internet Explorer
\Program Files\ComPlus Applications
\Program Files\NetMeeting
\Program Files\Common Files
\Program Files\Messenger
\Program Files\Microsoft Office
\Program Files\Install Shield Installation Information
\Program Files\MSN
\Program Files\Microsoft Frontpage
\Program Files\Movie Maker
\Program Files\MSN Gaming Zone

蠕蟲還會在每個經過的目錄中生成一個名為"_desktop.ini"的文件。這個文件包含系統日期,是無害的txt文件。

通過網絡共享傳播
蠕蟲嘗試通過IPC$ 和 admin$共享進行傳播,使用'administrator'用戶名和空口令。它還會嘗試很多自帶的用戶名和密碼,包括一個空用戶名和口令。

蠕蟲通過發送包括"Hello,World"數據的ICMP信息包到本地C類地址段目標IP地址來探測潛在目標。

危害
下載並運行任意文件
蠕蟲從"17dk.com"域下載很多文本和二進制文件。它還會嘗試下載2個文本文件和2個運行文件。二進制運行文件下載到%Windows%目錄,並隨後運行。

終止進程
Looked.S會終止以下運行的進程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMORE.EXE
Ravmond.EXE
RavMon.exe

停止服務
如果以下服務在系統上運行,蠕蟲將停止這個服務:
Kingsoft AntiVirus Service

關閉窗口
Looked.S搜索帶有"Ravmon.exe"標題的窗口,類別名為"RavMonClass"。如果找到,蠕蟲就會關閉這個窗口。

主要症狀:
1、佔用大量網速,使機器使用變得極慢。
2、會捆綁所有的exe文件,只要一運用應用程序,在winnt下的logo1.exe圖標就會相應變成應用程序圖標。
3、有時還會時而不時地彈出一些程序框,有時候應用程序一起動就出錯,有時候起動了就被強行退出。
4、網吧中只感梁win2k pro版,server版及xp系統都不感染。
5、能繞過所有的還原軟件。
詳細技術信息:
病毒運行後,在%windir%生成 logo1_.exe 同時會在windws根目錄生成一個名為virdll.dll的文件。
%windir%virdll.dll
該蠕蟲會在系統註冊表中生成如下鍵值:
[hkey_local_machinesoftwaresoftdownloadwww]
auto = 1

盜取密碼
病毒試圖登陸並盜取被感染計算機中網絡遊戲的密碼,將遊戲密碼發送到該木馬病毒的植入者手中。
  
阻止以下殺毒軟件的運行
病毒試圖終止包含下列進程的運行,這些多為殺毒軟件的進程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的殺毒軟件運行。國產軟件在中毒後都被病毒殺死,是病毒殺掉-殺毒軟件。如金山,瑞星等。哪些軟件可以認出病毒。但是認出後不久就陣亡了。通過寫入文本信息改變%system%driversetchosts 文件。這就意味著,當受感染的計算機瀏覽許多站點時(包括眾多反病毒站點),瀏覽器就會重定向到66.197.186.149。

病毒感染運行windows操作系統的計算機,並且通過開放的網絡資源傳播。一旦安裝,蠕蟲將會感染受感染計算機中的.exe文件。該蠕蟲是一個大小為82k的windows pe可執行文件。通過本地網絡傳播該蠕蟲會將自己複製到下面網絡資源:
admin$
ipc$

症狀
蠕蟲會感染所有.exe的文件。但是,它不會感染路徑中包含下列字符串的文件:
program files
common files
complus applicati
documents and settings
netmeeting
outlook express
recycled
system
system volume information
system32
windows
windows media player
windows nt
windowsupdate
winnt

蠕蟲會從內存中刪除下面列出的進程:
eghost.exe
iparmor.exe
kavpfw.exe
kwatchui.exe
mailmon.exe
ravmon.exe


[ 此文章被良牙在2006-11-17 16:50重新編輯 ]

此文章被評分,最近評分記錄
財富:50 (by upside) | 理由: 感謝提供資訊 數位男女因你而豐富



獻花 x1 回到頂端 [5 樓] From:台灣中華電信 | Posted:2006-11-17 16:38 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這一支 威金真的很討厭 我也中了這一隻
愛玩的結果 不過還好 卡巴能清除掉它
但是要全硬碟掃瞄 小硬碟還無所謂
小弟的硬碟共2000G 結果花了一星期才完成
_DEKTOP.INI 產生的這個檔案 必須使用搜尋
一次全部找出來 再全數刪除即可


爸爸 你一路好走
獻花 x0 回到頂端 [6 樓] From:台灣 | Posted:2006-11-17 16:51 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.057907 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言