廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1879 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 利用即時通訊軟體感染的W32.Loxbot.F病毒
利用即時通訊軟體感染的W32.Loxbot.F病毒病毒型態: 後門的蠕蟲(Worm)影響平台: Windows 2000、Windows 95、Windows 98、Windows Me、Windows NT、Windows Server 2003、 Windows XP概述: W32.Loxbot.F是一個利用AOL、 MSN 與 Yahoo 這些即時通訊軟體(Instant Messenger,IM)進行散佈的一帶有後門的蠕蟲,該蠕蟲允許遠端的攻擊者在被感染的電腦中執行多種破壞指令,同時會降低被感染電腦的安全設定及關閉某些安全程式。說明: W32.Loxbot.F是一個利用AOL、 MSN 與 Yahoo 這些即時通訊軟體(Instant Messenger,IM)進行散佈的一帶有後門的蠕蟲,該蠕蟲允許遠端的攻擊者在被感染的電腦中執行多種破壞指令,同時會降低被感染電腦的安全設定及關閉某些安全程式。當W32.Loxbot.F被執行時,會進行下列動作:
1. 複製自己到 %System%\lockbr.exe.
%System%是一個泛指系統資料夾的變數,在系統中預設為 C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)。
2. 在下列登錄檔位置加入新值為"freexstyle" = "lockbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
以便每次開機時能夠執行此一蠕蟲程式。
3. 修改下列登錄機碼的值以關閉windows Firewall:
將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters \FirewallPolicy\StandardProfile中的"EnableFirewall"值設為 "0"
4. 修改下列登錄機碼的值以關閉或略過windows Firewall偵測:
將HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ SharedAccess \Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications \List\C:\WINDOWS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile\Authorized Applications\List\C:\WINDOWS中的"system32"項目值設為
"C:\WINDOWS\system32:*:Enabled:lockx"。
5. 建立C:\xz.bat檔案並執行之,以關閉下列服務:
A. Security Center
B. Windows Update
C. Windows Firewall/Internet Connection Sharing (ICS)
6. 開啟後門並利用隨機的TCP port連接至IRC Server (q8l0rd.linux-dude.net),並允許駭客在受感染的系統中進行下列動作:
A. 建立或中斷與IRC Server連線
B. 下載與執行檔案
C. 產生隨機的新暱名(用在IM中進行擴散感染)
D. 更新蠕蟲本身的版本
7. 利用受感染的電腦中的IM軟體,送出包含蠕蟲本身的連結給所有在IM的聯絡人。

解決方案: 1. 清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄他們。Windows 預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。這麼一來即使你已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。清除系統復原的方法可以閱讀Windows 的文件或是參考以下網頁:
清除Windows Me系統復原:
http://service1.symantec.com/SU...fo.nsf/docid/ 2001012513122239?OpenDocument&src=sec_doc_nam
清除Windows XP系統復原:
http://service1.symantec.com/SU...fo.nsf/docid/ 2001111912274039?OpenDocument&src=sec_doc_nam
2. 接下來依據是否你電腦有無防毒軟體分為:
a. 若是你已經安裝了防毒軟體,請更新你的防毒軟體的病毒定義檔,以安全模式或是命令提示列的安全模式重新啟動電腦,使用你的防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
b. 或是可以使用免費的線上掃毒
”?PHPSESSID=75e7f724e...5f90d6c4541
c. 若是沒有防毒軟體的話,請刪除上列病毒說明中被感染檔案。但是有可能會造成系統的不穩定,如有必要可能需要修復你的作業系統。
3. 移除蠕蟲在下列登錄機碼中所新增的值"freexstyle" = "lockbr.exe":
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
4. 將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile中的"EnableFirewall"值設為 "1"
5. 將下列登錄機碼的"system32"項目值修正為"C:\WINDOWS\system32":
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS
6. 重新透過服務管理啟動下列安全服務:
A. Security Center
B. Windows Update
C. Windows Firewall/Internet Connection Sharing (ICS)
7. 刪除蠕蟲所建立的C:\xz.bat檔案。

參考資料: http://www.symantec.com/avcenter....loxbot.f.html資料來源:賽門鐵克公司



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣 | Posted:2007-12-15 11:37 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.090517 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言