趋势科技8月14日发布中度风险病毒警讯-线上幽灵病毒(WORM_ZOTOB.A)。此只网路病
毒透过微软安全漏洞(Microsoft Security Bulletin MS05-039)
于电脑开启后门并植入后门程式
,会修改系统设定档使电脑无法连上知名防毒厂商及网路购物厂商如eBay 、Amazon等网站
,并透过IRC伺服器的管道,对电脑进行远端操控,更会以受感染电脑为跳板以攻击网路上
其它电脑,达到窃取资料的目的。
感染方式,请参阅下面说明:
这只病毒蠕虫会扫描IP位址,假如发现Windows系统未安装修补程式且有启TCP Port445
(SMB,网路芳邻) 的机器时,将会自动安装后门程式在系统内(档案名称为HAHA.EXE)。
但这个后门程式仅会影响Windows NT及Windows 2000的系统。另外也许这个蠕虫病毒可
修改Windows系统下的HOSTS档案,让受到感染的网站无法存取一些防毒网站。
感染方式:
1.发现有漏洞存在时,将本身copy成档案名称为HAHA.EXE,并放置于C:/WINDOWS下。
2.更改下列注册机码(registry Code)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WINDOWS SYSTEM = "botzor.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = "botzor.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\DomainProfile\AuthorizedApplications\
%System%\botzor.exe = "%System%:*:Enabled:botzor"
注意: %System% 这个资料夹会因为不同的系统而路径有所不同。
例如:C:\Windows\System (Windows95/98/Me), C:\Winnt\System32 (WindowsNT/2000),
或 C:\Windows\System32 (Windows XP) 。
3.假如是在Windows NT-Based系统下,这只蠕虫病毒会修改下列机码:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
Start = "dword:00000004" (预设值为 "00000002")
4.修改Windows系统下的HOSTS档案,并将下列Domain加到档案里:
127.0.0.1
symantec.com... 127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1
sophos.com... 127.0.0.1 sophos.com
127.0.0.1
mcafee.com... 127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1
viruslist.com... 127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1
f-secure.com... 127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1
avp.com... 127.0.0.1
kaspersky.com... 127.0.0.1 avp.com
127.0.0.1
networkassociates.com... 127.0.0.1 networkassociates.com
127.0.0.1
ca.com... 127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1
my-etrust.com... 127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1
nai.com... 127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1
pandasoftware.com... 127.0.0.1
trendmicro.com... 127.0.0.1
grisoft.com... 127.0.0.1
microsoft.com... 127.0.0.1 microsoft.com
127.0.0.1
virustotal.com... 127.0.0.1 virustotal.com
127.0.0.1
amazon.com... 127.0.0.1
amazon.co.uk... 127.0.0.1
amazon.ca... 127.0.0.1
amazon.fr... 127.0.0.1
paypal.com... 127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1
moneybookers.com... 127.0.0.1
ebay.com... 127.0.0.1 ebay.com
5.移除方式:
(1)自动移除
更新您的防毒软体病毒码或是下载移除工具程式,并针对系统作扫描
(2)手动移除
(A)在开始/执行/regedit
(B)在
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>RunServices
移除下列两个值:
WINDOWS SYSTEM = "botzor.exe"
WINDOWS SYSTEM = "botzor.exe"
(c)在
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAcces>Parameters>
FirewallPolicy>DomainProfile>AuthorizedApplications>List
移除下列值:
%System%\botzor.exe = "%System%:*:Enabled:botzor"
(d)HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
将下列值:
Start = "dword:00000004"
更新为:
Start = "dword:00000002"
(e)离开Registry编辑模式
(f)建议重新开机,并再次确认是否已经移除。
(g)修改%Windows%\HOSTS(将第4项被蠕虫病毒新增的网址移除)。
(h)存档离开。
6.参考网站: 趋势科技
